智能家居云服务中API滥用风险 | 袁斌, 郑开民, 万俊, 邹德清, 金海

图片

研究意义

近年来,智能家居领域迅速发展,涌现了大量平台为用户提供智能家居设备以及服务。为了方便用户灵活的定制智能家居的服务,越来越多的平台向用户和第三方开发人员开放应用程序接口(API)。SmartThings是三星开发的一个被广泛使用的智能家居平台,其中的SmartApps是开发人员利用SmartThings平台提供的各种API编写的自动化规则,以实现丰富的智能设备联动操作。然而已有研究发现,部分有安全缺陷的API以及开发人员对API的滥用都可能给用户带来安全问题。攻击者可以利用缺陷API实施窃取用户隐私数据、非法控制设备等攻击。

本文工作

针对上述的智能家居云服务中的API滥用安全问题,本文对SmartThings智能家居平台的开放接口进行研究,发现了一系列具有安全缺陷的接口,总结归纳为向外推送信息的服务、获取网络服务SmartApps信息、获取第三方服务授权信息三种不同类型的风险API。基于发现的风险API,本文验证了四类安全风险的可行性并评估其带来的后果:设置SmartApps后门、利用SmartApps 作为C&C服务器、利用SmartApps挂载钓鱼网站、利用SmartApps骚扰用户。

为了提升智能家居平台的安全性,本文设计并实现了检测智能家居云服务中接口滥用行为的工具SmartNotify。如图1所示,SmartNotify包含源代码分析器、配置文件处理器和配置文件分析器三个核心组件,将可能有威胁的SmartApps作为输入,通过分析他们的源代码定位易受攻击的API调用,自动分类可能遭受的攻击并输出报告提示给非专业开发人员的用户。


图片图1  SmartNotify架构

实验结果

本文对提出的物联网API滥用检测工具SmartNotify进行了实验评估,检查了IoTBench开源应用程序数据集以及新编写的攻击SmartApps,检查内容包括180个官方提供的代码, 以及其他开发人员提供的不重复的第三方代码,共361个SmartApps,发现共有68%的 SmartApps可能遭受API滥用的安全威胁。

在性能评估方面,如图2所示,当SmartNotify用于大规模的检测时,平均每个SmartApp的预处理时间开销在100ms左右,报告生成开销在25ms左右,对每个SmartApp的完整检测时间大概在130ms左右,均在安全检查人员可接受的范围内,满足实用性需求。
图片图2  SmartNotify实验平均时间开销

作者:袁斌, 郑开民, 万俊, 邹德清, 金海。物联网云服务中 API 滥用的风险分析与检测。中国科学: 信息科学, DOI:10.1360/SSI-2022-0466

版权声明:本文内容转自互联网,本文观点仅代表作者本人。本站仅提供信息存储空间服务,所有权归原作者所有。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至1393616908@qq.com 举报,一经查实,本站将立刻删除。

(0)

相关推荐

发表回复

登录后才能评论