陈文智教授团队最新研究成果被顶级安全会议IEEE S&P (Oakland)录用
浙江大学计算机系统结构实验室(ARClab)陈文智教授团队论文“How IoT Re-using Threatens Your Sensitive Data: Exploring the User-Data Disposal in Used IoT Devices”于2022年12月12日被IEEE S&P录用。
IEEE S&P 全称 IEEE Symposium on Security and Privacy(IEEE 安全与隐私研讨会),中国计算机学会推荐的A类会议,是计算机安全领域四大安全会议(CCS、S&P、USENIX、NDSS)之一,也被认为是计算机安全领域的最高级别会议。
随着物联网技术的快速发展和用户需求的增加,智能设备的更新换代和重复使用在当今变得越来越普遍。例如Craigslist上有超过30万个二手智能设备在销售。在将二手设备给予其他人时,如果用户未能正确处理数据,这些设备中的敏感数据可能面临泄漏风险。因此,出现了一个关键的安全问题:用户是否(或能否)正确处理使用过的智能设备中的敏感数据?据我们所知,这仍然是一个尚未探索的问题,值得进行系统的研究。
在本文中,我们对使用过的智能设备的用户数据处理进行了首次深入调查。我们的调查整合了多种研究方法,以探索由二手智能设备引发的用户数据泄漏问题的现状和根本原因。首先,我们进行了一项用户调查,以调查用户对数据处理的认知和理解。然后,我们对4749个智能设备固件进行了大规模分析,以探索用户数据收集行为。最后,我们对33个智能设备进行了手工实证评估,以调查现有数据处理方法的有效性。
通过系统性的调查,我们发现物联网设备收集的敏感数据比用户预期的更多。具体来说,在测试的固件中存在121984个收集敏感数据的行为。此外,用户通常没有正确处理敏感数据。更糟糕的是,由于存储芯片的固有特性,13.2%的固件执行“浅层”删除,这可能导致在数据处理后,攻击者依然能获取敏感数据。鉴于大规模的智能设备重复使用现状,此类泄漏将造成广泛影响。
论文第一作者刘沛宇,2022年毕业于ARClab实验室,现为浙江大学博士后。主要研究方向为系统和软件安全,此前研究成果发表于IEEE/ACM ASE、ESORICS等知名国际会议。