物联网云服务中API滥用的风险分析与检测  被引量：3

作　　者：袁斌[1,2,3,4,6,8] 郑开民 万俊[1,2,3,4,6] 邹德清 金海[2,3,5,7] Bin YUAN;Kaimin ZHENG;Jun WAN;Deqing ZOU;Hai JIN(School of Cyber Science and Engineering,Huazhong University of Science and Technology,Wuhan 430074,China;National Engineering Research Center for Big Data Technology and System,Wuhan 430074,China;Services Computing Technology and System Lab,Wuhan 430074,China;Hubei Engineering Research Center on Big Data Security,Wuhan 430074,China;Cluster and Grid Computing Lab,Wuhan 430074,China;Hubei Key Laboratory of Distributed System Security,Wuhan 430074,China;School of Computer Science and Technology,Huazhong University of Science and Technology,Wuhan 430074,China;Shenzhen Huazhong University of Science and Technology Research Institute,Shenzhen 518057,China)

机构地区：[1]华中科技大学网络空间安全学院,武汉430074 [2]大数据技术与系统国家地方联合工程研究中心,武汉430074 [3]服务计算技术与系统教育部重点实验室,武汉430074 [4]大数据安全湖北省工程技术研究中心,武汉430074 [5]集群与网格计算湖北省重点实验室,武汉430074 [6]分布式系统安全湖北省重点实验室,武汉430074 [7]华中科技大学计算机科学与技术学院,武汉430074 [8]深圳华中科技大学研究院,深圳518057

出　　处：《中国科学：信息科学》2023年第12期2355-2371,共17页Scientia Sinica(Informationis)

基　　金：国家自然科学基金青年科学基金(批准号:61902138);国家重点研发计划项目(批准号:2022YFB3103402);湖北省重点研发科技创新专项项目(批准号:2021BAA032);武汉应用基础前沿项目(批准号:2020010601012188);广东省重点研发计划项目(批准号:2019B010139001)资助。

摘　　要：近年来,物联网技术的蓬勃发展带动了智能家居应用的快速发展,越来越多的智能家居平台开放各种应用程序接口,以方便用户实现自定义的智能家居应用,如设备联动控制.然而,这些开放接口中存在的安全缺陷也成为影响智能家居系统安全的重要因素之一.本文针对SmartThings智能家居平台的开放接口进行研究,发现了一系列新的具有安全缺陷的接口,并通过概念验证实验证实了其安全风险.为提升智能家居平台的安全性,设计并实现了检测智能家居云服务中接口滥用行为的工具SmartNotify.实验结果表明,SmartNotify能快速且准确地识别利用安全缺陷接口进行攻击的智能家居应用.Recently,the vigorous development of Internet of Things technology has rapidly developed smart home applications.Smart home platforms increasingly provide open interfaces for users to implement customized smart home applications(e.g.,device automation control).The possible defects of these open interfaces have also become an important issue affecting the security of smart home systems.In this paper,we study the open interfaces of the SmartThings platform.We identified a series of new vulnerable interfaces and conducted proofof-concept attacks to demonstrate the security impact of such interfaces.To mitigate this problem,we propose SmartNotify,a tool for identifying malicious smart home applications abusing vulnerable interfaces.Experiment results show the efficiency and effectiveness of SmartNotify.

关 键 词：物联网安全 智能家居安全 SmartThings平台 开放接口 云服务 

分 类 号：TP391.44[自动化与计算机技术—计算机应用技术] TN915.08[自动化与计算机技术—计算机科学与技术]