首发现四种程式登录漏洞　中大成首个亚洲团队夺国际互联网防御奖

香港中文大学信息工程学系研究团队早前以自家研发的系统，发现市面上网络程式有七种登录漏洞。
团队早前因有关研究的论文，在美国获Facebook 颁发国际互联网防御奖第三名，是首次有亚洲研究团队获此项国际荣誉。

单点式登录简称 SSO（Single Sign-On），是一种透过社交网站进行认证，以简化第三方应用程式的用户认证及授权服务的程序。现时每天有数以亿计的互联网用户使用 SSO 服务，但社交网站五花八门，第三方应用程式处理不同社交网站的要用不同方法，因此相关的软件开发套件（SDKs）就出现，整理用家在不同社交媒体提供的资料，整合后帮助第三方应用程式进行认证工作。因此， SDKs 的安全性对网上安全亦变得愈来愈重要。

中大信息工程学系的研究团队为此开发了一个高效的自动测试工具“S3KVetter”，以检查 SSO SDKs 的漏洞。团队其后测试了市场上十个被下载数百万次的 SDKs 工具，发现出十种被广泛使用的 SDKs 有七种的程序漏洞，当中四种更是从来不为人知的漏洞。

团队然后发表论文，并在美国举行的第27届网络安全会议（USENIX Security Symposium）上获Facebook颁发互联网防御奖（Internet Defense Award）第三名，以及四万美元研究资金，以表彰他们在加强单点式登录安全系统算法方面的论文。据称，这是首次有亚洲研究团队获此项国际荣誉。

研究团队成员之一、中大信息工程学系教授刘永昌指，SSO SDKs 的研究十分重要，是次获奖令工程学院非常鼓舞，反映中大在应用密码学、网络安全上已达致世界级水平。而对于奖金的用途，他希望可以利用资源完善测试工具，日后开放大众使用，而学院未来亦会作相关的研究，例如日渐普及的流动支付系统（Mobile Payment）。

刘永昌又称，测试工具所发现的7个漏洞已上报予10个 SDKs 的开发商，现已修正。他提醒，各程式开发者应尽责恒常更新 SDKs 的版本，才能够避免被黑客利用已曝光漏洞入侵。而作为用家，亦应选择值得信任、有能力及技术处理问题的第三方应用程式，免招损失。