计算机系顺利组织“信息讲坛”第九十三讲
2022年11月16日星期三下午,9728太阳集团计算机系组织了“信息讲坛”第九十三讲——Software Assessment in Reality:Automatic Vulnerability Detection Introduction。本次讲座由新南威尔士大学工程与信息系统学院的助理教授马思奇主讲,9728太阳集团副教授王永才和张峰线上主持会议,校内外百余名师生在线参加了本次讲座。
由于缺乏具体的网络安全知识,很多软件工程师在软件的实现中会留下可能的软件漏洞。马思奇老师以此为切入点,介绍了一些与软件漏洞的检测相关的研究工作,对一些常见的软件安全问题进行了分析,说明一些软件实现的漏洞所在及潜在威胁。
以家用智能设备中的恶意远程控制为例,常见的存在安全漏洞的认证方式包括任意设备都可连接的无认证方式、通过不安全的网络信道进行的pincode认证,明文进行的用户名和密码认证等。这些常见的认证方式都存在被攻击的安全隐患。攻击者只需要截取正常用户发送给电视的网络信息协议,再分析对应的内容,就可以获得pincode或者明文的用户名密码等信息,从而将自己的设备连接到电视,完成远程攻击。经过实验验证,几乎所有常见品牌的电视都存在不同程度的安全问题。
此外,马思奇老师还对无人机中常见的安全问题进行了分析。无人机通常会设置可以操作的参数范围,通过指定参数来完成对无人机的操控。但研究证明,即使在合法的参数范围内,也可以使无人机发生悬停、偏航、坠毁等异常操作,通过远程输入异常参数,可以完成对无人机的异常操作攻击。
报告结束之后,老师和同学们踊跃提问,进行了热烈的讨论和交流。讨论的范围从软件实现中的代码漏洞如何处理,到生活中常用软件的人脸和指纹识别的安全性。马老师对大家的提问进行了细致的解答,现场气氛轻松热烈,报告会取得了圆满成功。
马思奇博士是新南威尔士大学工程与信息系统学院的助理教授。她于2013年本科毕业于西安电子科技大学计算机科学与技术专业,2018年博士毕业于新加坡管理大学信息系统学院。主要研究方向为基于代码的软件安全分析,主要研究目标包括移动终端,智能设备以及智能合约的漏洞挖掘与修复。相关的研究成果均发表在相关领域的顶级会议及其期刊上,包括IEEE S&P,ICSE,CVPR,TKDS,TIFS,TDSC等等。其中智能合约漏洞修复的文章获得了2020年软件工程领域顶级会议SANER 的最佳论文奖。