[2021.11.17] [USENIX Security 2021] Sharing More and Checking Less: Leveraging Common Input Keywords to Detect Bugs in Embedded Systems
Source: https://www.usenix.org/system/files/sec21fall-chen-libo.pdf Authors: Libo Chen, Yanhao Wang, Quanpu Cai, Yunfan Zhan1, Hong Hu, JiaqiLinghu, Qinsheng Hou, Chao Zhang, Haixin Duan, Zhi Xue Download Note: https://jbox.sjtu.edu.cn/l/l1cmyY Contributor: ydh Overview IoT设备的使用越来越广泛,设备中存在的安全漏洞的影响也越来越大。IoT设备后端与用户交互往往需要通过Web,App等前端。许多嵌入式系统的漏洞都来自于Web。但是目前已有的漏洞检测方法都无法有效且高效地分析这样的web服务。这篇文章提出了一种新颖的静态污点分析的方法(SaTC),高效地检测嵌入式设备提供的web服务中的漏洞。主要检测两类IoT设备,无线路由器以及Web摄像头,这些设备为了方便管理使用往往都会有管理界面。有研究表明75%的IoT攻击都是对路由器的,Web摄像头排在第二15.2%