近期，复旦大学系统软件与安全实验室小程序安全研究小组对小程序云服务进行了系统研究，揭示了数千个小程序存在云资源泄露风险，大量敏感数据在互联网中"裸奔"。该研究成果已发表于网络安全顶会NDSS 2026。

研究背景

随着"App-in-App"生态的蓬勃发展，小程序已深入支付、医疗、政务等各类高敏感场景。为支撑日益复杂的业务逻辑，超级应用推出了小程序云开发服务：开发者无需自行搭建和维护服务器，即可便捷地调用云数据库、云存储及云函数，将用户信息、交易流水、甚至核心业务逻辑直接托管于云端。为了保护这些资源，超级应用设计了一套身份管理机制，旨在保障只有经过授权的用户才能访问特定数据，确保数据访问严格遵循"最小权限原则"。

问题核心：脆弱的身份屏障

然而，我们的研究发现，开发者在实际开发过程中往往存在两类普遍的安全问题：

• 身份校验的"形同虚设"： 开发者未能正确核实请求者的真实身份。例如，部分小程序仅依赖用户的身份信息（如邮箱、手机号）作为云端资源的访问凭据，这意味着攻击者只需篡改这些信息，即可轻易地冒充他人身份，越权获取各类敏感隐私。
• 权限分配的"门户大开"： 开发者未能遵循"最小权限原则"，错误地将特权资源（如管理员密钥）或高危业务逻辑（如修改账户余额）的操作权限直接下放给普通用户，使云端数据库沦为毫无防备的"公共账本"。

在分析过程中，我们发现一个网课小程序使用用户填写的"手机号"来检索云数据库（course_users），进而获取用户的姓名和家庭住址等信息。攻击者只需在请求中篡改手机号，就能批量窃取所有用户的隐私信息。

工具设计

针对隐蔽的云端逻辑缺陷，我们研发了自动化探测工具 ICREMiner。该工具首先通过静态分析精准提取代码中的云资源访问操作；随后，针对难以直接观测的隐藏云资源，创新性地引入大模型（LLM）推理与跨小程序关联分析，实现深度"逻辑推演"；最后，利用动态探测技术在不影响业务逻辑的前提下进行实测，从而实现对小程序云资源安全风险的自动化识别。

研究成果

研究团队对真实世界中的小程序进行了大规模自动化扫描，识别出 22,695 个使用云服务的小程序。分析结果显示：

• 漏洞影响广泛： ICREMiner 成功检测到 2,815 个小程序存在严重的云端安全漏洞，共涉及 8,062 个高危云操作。
• 敏感隐私"裸奔"： 漏洞导致海量用户的姓名、家庭地址、身份证号、就医记录等敏感信息处于"不设防"状态。受影响的小程序涵盖了医疗健康、在线教育及金融服务等多个敏感领域。
• 推动安全修复： 秉持负责任的披露原则，研究团队已向开发者提交了详细的漏洞报告，积极协助其修复安全隐患，共同筑牢小程序生态的安全防线。

研究团队

杨哲慜，复旦大学计算与智能创新学院副教授。研究方向为软件安全攻防技术，在网络安全顶级国际会议上发表论文 20 余篇，多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市科学技术一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。发现数万"零天"安全漏洞，影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户，国家互联网应急中心授予"2021年最具价值漏洞奖"。

史一哲，复旦大学计算与智能创新学院博士研究生，本科毕业于复旦大学计算机科学与技术专业。主要研究方向为小程序与移动应用的隐私安全与漏洞挖掘等，在NDSS、IEEE S&P等网络空间安全国际顶会上发表过学术论文，已累计获得上百个CVE和CNVD编号。

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）