劉永昌(右一)指,不排除電子支付系統亦會有保安漏洞。(蘇文傑攝)
不少網站均會要求用戶透過社交平台如FB等登錄,讓用戶可少記一個用戶帳號,但中大研究發現,這類透過社交網站的帳號,登入第三方網站(如OpenRice、IMDb等)的「單點式登錄」,都有出現安全漏洞,用戶的個人私隱可能會遭盜用。負責研究的中大信息工程學系副教授劉永昌更指,不排除電子支付系統都會出現類似的安全漏洞,團隊未來將借鑑現時系統的概念,設計針對電子支付的檢測系統,保障用戶免受金錢上的損失。
用戶以自己的社交網站帳號,登入第三方網站的過程中,牽涉「軟件開發工具包」(SDK)程式,作為連接社交網絡及第三方網站帳號的「橋樑」。中大信息工程學系的團隊成功研發出「S3KVetter」系統,能自動檢測該些網站的安全漏洞,劉永昌指,經「S3KVetter」系統檢測發現市面上10個被廣泛應用的SDK程式中,全數出現安全漏洞,有程式更出現多達5個漏洞。黑客可透過漏洞,盜取用戶在第三方網站上的個人資料,當中牽涉數以億計網民的私隱。
系統亦於美國第27屆網絡安全會議上獲頒互聯網防禦獎第三名,並獲4萬美元(約31.2萬港元)的研究資金,用作進一步完善系統,以及研發針對電子支付的檢測系統。