报告题目：Detection techniques of Password Authentication Flaws

报告人：马思奇 博士

报告时间：09:30-10:30, 2018年12月29日

报告地点：长安校区 文津楼3628

报告摘要：Password is the most pervasive means for user authentication in mobile applications. Incorrect implementations of password schemes break the first line of defense in securing mobile services. In this talk, we propose AUTHExploit, a lightweight tool to automatically check whether password schemes are implemented correctly in Android applications. By conducting a static analysis, AUTHExploit detects common flaws in the implementation of password-based authentication schemes, such as passwords transmitted in plaintext without any protection, passwords over SSL/TLS without proper certificate and hostname verifications, and password authentication using repeatable timestamps.

报告人简介：马思奇，新加坡管理大学博士，现就职于澳大利亚联邦科学和产业研究组织，研究方向集中在Android平台应用的漏洞修复，在2016年提出Android应用程序的密码学漏洞自动化修复技术，相关论文发表在同年的AsiaCCS国际学术会议上，在2017年提出了基于已有漏洞知识的自动化补丁迁移技术，相关论文发表在同年的ESORICS国际学术会议上。