G.O.S.S.I.P 阅读推荐 2022-05-04

这个漫长而封闭的五一假期的尾巴恰逢五四青年节，我们要为大家送去一篇投稿作品，来自去年G.O.S.S.I.P暑期学校Youth Day主讲人之一、现在已经是中山大学软件工程学院百人计划副教授的南雨宏老师。南老师作为国内软件安全研究的青年才俊，长期支持G.O.S.S.I.P的线上和线下活动，并和我们合作发表了今年DSN的研究论文，我们今天为大家介绍的是他和合作者在NDSS 2022上发表的一篇研究工作

在新冠疫情大流行的背景下，远程办公（在家摸鱼）的需求快速增加，团队协作系统（Team Chat Systems，TACT）也变得愈加流行，其中较为突出的平台包括Slack、Microsoft Teams、Webex Teams、Facebook Workplace、Zoom等等。与个人即时通讯平台（如Facebook  Messenger、KakaoTalk、iMessage等）不同，团队协作平台（1）更关注于群组通信，人们可以不同频道（包括公开频道和私人频道）针对不同主题进行讨论；（2）团队协作平台为支持团队协作，可以集成各种第三方应用（又名，机器人、应用扩展、插件，简称为TA）丰富其自身功能。例如在Slack应用市场上，存在着超过2000个公开的第三方应用。此外，团队成员还可以在本团队的工作空间上开发并安装私有的第三方应用来满足特定需求。

在团队协作系统生态系统中，由于引入了复杂的第三方应用生态，而其安全保护机制还不够坚实，可能导致严重的安全风险。本文作者首次对团队协作系统第三方应用插件可能导致的安全风险进行了系统化的研究。

如Table 1所示，作者选择了12个流行的TACT系统，目标是发现及检测TACT系统集成TA时可能引发的安全风险。特别地，作者关注在同一个workspace中的恶意成员利用第三方应用可能达成的攻击行为。作者首先从安全研究论文及公开报告中总结出了一系列常识性的安全设计及安全实现策略（Common Sense Security Policies，简称CSSP）。基于CSSP的要求，通过分析TACT的系统文档，系统设计与系统实现，来识别TAC系统中可能违反CSSP要求的安全漏洞或风险。

作者系统分析了第三方应用（TA）在安装、更新、配置和运行这一完整生命周期中可能存在的安全风险，在12个平台中共发现55个具体的安全风险，在TA安装、更新和配置阶段发现25项安全问题，在TA运行时发现30个有漏洞或风险的API：

  

作者针对如下一些问题进行了具体讨论：

1. TA安装、更新存在的安全风险：在TA安装过程，研究发现许多平台在TA安装时缺乏审查，并且安装成功后并未告知相关用户，这使得恶意TA可以很容易在workspace上安装。此外，作者发现在一些平台上，TA可以随意使用应用图标、名字，使得TA可以伪造其他公开TA来欺骗团队成员，开展攻击活动。在TA更新过程中，同样存在缺乏审查问题，使得恶意应用可以在更新时申请更多危险的敏感权限。

2. TA配置中的安全风险：在研究过程中，作者发现TA配置中存在两大类安全漏洞：

1. Invocation hijacking via Slash Command：恶意TA可以劫持其他TA的启动命令，从而欺骗团队中的其他成员。例如，恶意TA可以占据“/zoom”启动命令，这样当团队其他成员意图使用合法Zoom时，其实际启动的是恶意TA，而恶意TA可以返回伪造的zoom会议图标和会议链接，以此来窃听其他成员发起的会议。

2. Message monitoring via link unfurling：Link unfurling是平台提供的URL预览功能，研究发现TA可以任意注册多个unfurl URL, 从而能够监听在workspace中所有频道发送的URL消息，包括没有添加恶意TA的私密频道，造成了用户隐私泄露。

3. TA运行时的安全风险：与人工分析TA安装、更新、配置中安全风险不同，TA在运行时调用了大量的REST-API与平台进行交互，因而依赖于自动化工具识别API设计与实施中存在的安全风险。作者设计了一个能够有效检测不同 TACT 平台上脆弱API 的工具TAPIS，它的工作流程如图2所示，主要由三部分组成。具体来说，Specification Parser使用了一组NLP技术来解析API规范文档来提取相关关键信息。然后，Dependency Analyzer分析API相关语义信息来识别不同API之间的依赖关系，从而构建API调用序列，在此，依赖关系分为显示依赖和隐式依赖，显示依赖是文档中明确说明的API调用顺序，隐式依赖是API测试时必须遵从的调用顺序，例如，必须先调用文件生成API，再调用文件删除API。最后，Runtime API Invocator依照API调用序列进行运行时测试。 

图2  TAPIS的工作流程

经过API自动化测试，作者发现了三类安全漏洞：

1. Access-control violation：许多API设计与实施违反了访问控制策略，例如在Slack中，攻击者可以使用calls.end API打断其他团队成员发起及参与的音视频会议，导致了拒绝服务攻击。

2. Private message reading by system admin：研究发现，在许多平台上，管理员可以使用消息读取API获取私人消息，然而这些平台的文档均未对此行为进行声明，在系统操作界面上管理员也无法进行此种操作，作者认为此种行为危害了用户隐私（作者同时进行了用户调查，调查结果支持了此结论）。

3. URL link spoofing：研究发现，许多平台存在URL欺骗漏洞，能够诱导团队成员访问恶意网站。

论文PDF：

https://www.ndss-symposium.org/wp-content/uploads/2022-387-paper.pdf

---

投稿作者及研究团队介绍：

南雨宏为中山大学软件工程学院百人计划副教授，中山大学软件安全及隐私保护课题组负责人。他的主要研究内容涉及物联网终端、移动终端及各类新兴软件平台的安全及隐私问题。研究成果多次发表于USENIX Security、ACM CCS、NDSS等会议，所发现安全问题获得众多厂商（如Apple、Google等）的确认及致谢。 

 

本论文作者团队分别来自美国印第安纳大学、中国科学院大学以及中山大学。其中查明明为美国印第安纳大学博士生，导师为XiaofengWang 教授，王基策为中国科学院大学博士生，导师为张玉清教授。

 

南雨宏老师长期招收多名学术型/专业型硕士研究生，欢迎对软件安全及隐私保护感兴趣的同学通过电子邮件联系。南老师主页：

https://nanyuhong.github.io/

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2022-05-04