复旦大学系统软件与安全实验室在移动生态安全研究取得新进展。本团队曾剖析小程序生态中多种身份混淆安全问题[1]（荣获USENIX Security 2022 Distinguished Paper奖项），而此项研究则延续了对域名身份安全的探讨，从移动互联网生态视角下看，聚焦于世界头部企业们的私有URL链接缩短服务的安全性，揭示了本该倍受用户信赖的服务却在短链接生成管理上存在安全隐患。研究团队构建了自动化的安全测试工具Ditto，发现当下四分之一的服务可能被网络罪犯利用来制作钓鱼链接，甚至是绕过软件系统中的访问控制远程执行恶意代码。论文将这样一种攻击手段称为“错误引导攻击”（如同魔术中的Misdirection），其潜在安全威胁涉及上亿用户。该论文已被网络安全领域CCF-A会议NDSS 2025接收。

[1] Identity confusion in WebView-based mobile app-in-app ecosystems （USENIX Security 2022）

01

背景介绍

02

威胁模型

私有性质的短链接会让用户隐式地认为，访问这些私有的短链接等同于访问值得信赖的网络内容。然而这种私有短链接服务的安全检查一旦存在缺陷，也可以重定向到一个恶意域名。更严重的是，被滥用的私有短链接服务由于被一些用户和基于域名的安全检查信任，攻击者可以利用这种信任关系在下游软件中加载恶意页面，实现远程代码注入等严重的攻击。本文中将这样一种攻击形式称为错误引导攻击（Misdirection Attack）。

本团队首次系统性地对此类攻击展开了深度分析，并发现由于私有短链接服务的缺陷向下游软件引入了多种安全威胁，对用户和多项移动以及web业务场景造成严重危害。本项研究围绕以下研究问题：

研究问题1：DUSS的安全设计是什么？它们的潜在攻击面是什么？

研究问题2：如何自动检测现有的众多DUSS是否存在安全缺陷？

研究问题3：此类攻击对社交网络用户和Domain-based Checker有什么安全影响？

03

“初窥”DUSS安全性

考虑到DUSS生态缺少公开信息，研究团队首先使用了一种自上而下的方法，从社交网络平台上公开的URL中收集关于DUSS的蛛丝马迹。如下图所示，团队设计了多个维度的二元分类模块，从3大流行社交网络平台的海量URL中识别出由88个独立的DUSS生成的短链接。根据链接域名解析信息，团队进一步推断出DUSS服务的部署模式分为自开发DUSS和第三方托管DUSS两大类。前者的链接生成和解析都是企业自主可控，即会将短链接域名解析到自己的服务器，而后者由知名短链接服务商来提供短链接解析服务，厂商把域名的DNS配置到第三方域名解析服务。

团队取样了排名前15的DUSS调研其安全风险面，发现除一些仅在后端控制台里静态生成短链接之外，许多DUSS都提供短链生成API接口，让客户端应用（例如网页、移动应用）动态生成短链接，暴露出广泛的攻击面。团队基于第三方服务商提供的安全开发文档进行分析和测试，总结了DUSS常采用的三类安全检查，以及每种检查可能存在的攻击向量。

04

“测试”DUSS漏洞

基于前面的调研，团队发现DUSS链接生成API都会被企业自家开发的移动应用所使用， 因此测试一个DUSS是否安全也得从这些API下手。为了支持自动且规模化的安全分析，团队设计了工具Ditto（整体架构图如下），该工具通过API推断，动态API触发和决策树指导的漏洞挖掘来对DUSS展开安全性测试。

Ditto首先通过静态分析提取Web API的相关调用行为与UI事件可达性，以此推断出可能的DUSS API。其次，Ditto使用一个动态API触发来验证是否是DUSS API，并通过对短链接生成API的长链接的来源进行后向追踪和插桩修改，以此生成合法的API测试请求。第三，Ditto通过一个最小决策树降低无效的测试用例，并保证测试用例无毒无害，用最少的测试次数来挖掘短链接API的漏洞。

最终，Ditto在377个移动应用中识别出50个私有短链接生成API，仅用373个测试用例就找到了22个有漏洞的DUSS。

05

“实证”攻击危害性

除了能发起钓鱼攻击，团队还总结了错误引导攻击能攻破的常被下游软件使用的五类安全检查，包括Applink 验证、外链警告、OAuth重定向等。团队实证了这22个漏洞DUSS企业的下游软件安全性，发现有11个安全检查仅能被错误引导攻击攻破，而剩下的21个安全检查则是能受到任何恶意链接的攻击。