一分钟读论文：《细孔沉千帆：小程序权限漏洞研究》

微信、抖音和支付宝的小程序的月活用户总数接近全球最受欢迎的社交网络 Facebook 28.9 亿 MAU。北京电子科技学院的论文《 A SMALL LEAK WILL SINK MANY SHIPS: VULNERABILITIES RELATED TO MINI PROGRAMS PERMISSIONS 》 对小程序权限进行研究。对9 个流行的移动应用生态系统超过 700 万个小程序进行了系统研究，测试了超过 2,580 个 API，发现6 类潜在安全漏洞，银联、字节、微信、QQ 、支付宝、百度、小米、华为纷纷中招，并总结了小程序保护用户隐私的系统性建议。

• 加强主应用、应用厂商和用户的协同，形成个人隐私保护的管理体系的小程序。
• 小程序通过宿主应用上架，宿主应用应严格控制权限管理，积极整治涉及用户敏感权限的 API ，最大程度保护用户隐私。
• 应用厂商需要考虑现有的操作系统如何处理特定的 API 和结果反馈。 例如，工程师在一段时间后自动清除剪贴板。
• 用户在使用小程序时也需要增强个人信息保护的安全意识，警惕来路不明的小程序，不要将自己的隐私信息快速授权给小程序，以免被非法收集和泄露，造成不必要的损失。
• 鼓励用户积极举报违法行为。

阅读全文：一分钟读论文：《细孔沉千帆：小程序权限漏洞研究》