首發現四種程式登錄漏洞　中大成首個亞洲團隊奪國際互聯網防禦獎

香港中文大學信息工程學系研究團隊早前以自家研發的系統，發現市面上網絡程式有七種登錄漏洞。
團隊早前因有關研究的論文，在美國獲Facebook 頒發國際互聯網防禦獎第三名，是首次有亞洲研究團隊獲此項國際榮譽。

單點式登錄簡稱 SSO（Single Sign-On），是一種透過社交網站進行認證，以簡化第三方應用程式的用戶認證及授權服務的程序。現時每天有數以億計的互聯網用戶使用 SSO 服務，但社交網站五花八門，第三方應用程式處理不同社交網站的要用不同方法，因此相關的軟件開發套件（SDKs）就出現，整理用家在不同社交媒體提供的資料，整合後幫助第三方應用程式進行認證工作。因此， SDKs 的安全性對網上安全亦變得愈來愈重要。

中大信息工程學系的研究團隊為此開發了一個高效的自動測試工具「S3KVetter」，以檢查 SSO SDKs 的漏洞。團隊其後測試了市場上十個被下載數百萬次的 SDKs 工具，發現出十種被廣泛使用的 SDKs 有七種的程序漏洞，當中四種更是從來不為人知的漏洞。

團隊然後發表論文，並在美國舉行的第27屆網絡安全會議（USENIX Security Symposium）上獲Facebook頒發互聯網防禦獎（Internet Defense Award）第三名，以及四萬美元研究資金，以表彰他們在加強單點式登錄安全系統算法方面的論文。據稱，這是首次有亞洲研究團隊獲此項國際榮譽。

研究團隊成員之一、中大信息工程學系教授劉永昌指，SSO SDKs 的研究十分重要，是次獲獎令工程學院非常鼓舞，反映中大在應用密碼學、網絡安全上已達致世界級水平。而對於獎金的用途，他希望可以利用資源完善測試工具，日後開放大眾使用，而學院未來亦會作相關的研究，例如日漸普及的流動支付系統（Mobile Payment）。

劉永昌又稱，測試工具所發現的7個漏洞已上報予10個 SDKs 的開發商，現已修正。他提醒，各程式開發者應盡責恆常更新 SDKs 的版本，才能夠避免被駭客利用已曝光漏洞入侵。而作為用家，亦應選擇值得信任、有能力及技術處理問題的第三方應用程式，免招損失。