【“移动互联网安全”论坛回顾】王基策：团队聊天平台第三方小程序安全风险分析

6月4日，由InForSec主办，清华大学（网络研究院）-奇安信联合研究中心、复旦大学系统软件与安全实验室承办，中国科学院计算技术研究所计算机体系结构国家重点实验室、中国科学院软件研究所可信计算与信息保障实验室、百度安全、奇安信集团、蚂蚁集团、阿里安全协办的“网络安全四大顶会研究成果分享”之“移动互联网安全”（二）论坛在线上成功召开。中国科学院大学王基策博士、山东大学李蕊博士、复旦大学廉轲轲博士、中国科学院信息工程研究所向小波博士在会上作了精彩的报告。本次会议由复旦大学副教授张源主持，共77人参加会议。

InForSec将对会议精彩报告进行内容回顾，本文分享的是王基策博士的报告——《团队聊天平台第三方小程序安全风险分析》。

近年来线上工作模式出现，团队聊天平台日益兴起。王基策博士首先介绍此类平台主要有关注群组沟通而非一对一消息、支持项目协作的特点，同时，各聊天平台在此基础上推出小程序功能，使第三方小程序可以通过 API 访问资源，实现相应功能。目前团队聊天平台使用日益增多，基于这些平台的第三方小程序得以进一步发展，据王博士介绍，目前 12 个流行的团队聊天平台（如 Zoom、Slack、Microsoft Teams 等）累计下载量超 3.2 亿，共有超过 25,000 个第三方小程序，提供包括音视频通话、文档协作、项目管理、办公管理等功能。

王博士介绍，目前已有此类团队聊天平台安全风险的相关报道，通过王博士团队的进一步研究，发现此类框架存在两套访问控制模型：一种是团队聊天平台访问控制，是基于角色的访问控制模型，模型区分频道管理员、普通用户，管理员拥有最高权限，普通用户权限最少；另一种是第三方小程序访问控制，是基于权限的访问控制模型，类似安卓应用，当小程序需要访问敏感资源时，声明权限列表指出小程序可调用 API 的访问资源。

基于上述背景，王博士介绍了其研究的威胁模型，假设攻击者是工作空间中的恶意成员，能够在工作空间上安装小程序，小程序可以执行平台允许的各种功能。特别的，王博士的研究关注于普通用户或管理员开发并安装的内部小程序，而不是应用市场上公开发布的小程序。

随后，王博士介绍了分析总结的四条通用安全设计原则和安全实践，分别是

CSSP# 1 第三方小程序在安装和更新时必须进行彻底的安全审查，并且小程序安装和更新应当明确通知相关用户

CSSP #2 第三方小程序的访问控制应遵循最小权限原则，避免授予其可能引发安全风险的非必要权限

CSSP #3 平台应明确说明其对敏感数据的访问控制机制设计，例如，是否允许工作空间管理员访问私人消息

CSSP #4 为避免URL欺骗，如果用户界面显示的链接文本与其重定向的实际链接不同，则平台应向用户提出安全警告

基于上述威胁模型，及四条通用安全设计原则和安全实践，王博士分阶段介绍了系统分析小程序安装、更新、配置、运行时引起的安全风险。该工作是第一个系统研究团队聊天平台第三方小程序生命周期中安全风险的工作。

在安装阶段，王博士介绍了第三方小程序的安全风险。分别为小程序无需平台审查即可安装、小程序安装时不通知用户，以及小程序通过修改名称、图标等元数据伪造成市场中流行的小程序。

在更新阶段，王博士介绍了静默更新权限引入的安全风险。第三方小程序通过静默更新小程序权限，而不通知相关用户，从而引入权限与资源管理问题。据王博士介绍，其团队发现 12 个平台中，5 个团队聊天平台存在此问题。

在配置阶段，王博士介绍了两类安全风险，分别是 Slash Command 命令劫持及 URL 预览监听消息。Slash Command 命令劫持具体为团队聊天平台服务器端接收 Slash Command 命令后，通知恶意小程序，恶意小程序收到命令返回被其控制的链接。URL 预览监听消息指，团队聊天平台解析到用户发送的链接并通知恶意小程序，恶意小程序收到并发送链接消息至自身服务器，从而监听私人频道。