今天为大家推荐的论文是来自IEEE S&P 2023的How IoT Re-using Threatens Your Sensitive Data: Exploring the User-Data Disposal in Used IoT Devices,由浙江大学ARClab与NesaLab联合投稿。
研究背景与动机
随着物联网(IoT)的飞速发展,相关机构预测全球的物联网设备数量将于2025年超过300亿。与此同时,伴随物联网设备的频繁更新换代,用户也会周期性的购买新设备并将被替代的旧设备出售或丢弃。例如,相关统计表明仅2019年全球就产生了超过五千万吨的二手智能设备。在用户使用物联网设备的过程中,用户的第三方账户信息等大量的敏感数据被设备收集并用于提供各项服务。举例来讲,一个智能摄像头为了将监控视频保存备份,可能需要获得和使用用户的FTP账户信息。在这样的背景下,一旦用户在出售或丢弃二手设备之前没有妥善的处理设备中存储的敏感数据,他们可能会面临敏感数据泄露的风险。
图1. 二手设备引起数据泄漏风险的威胁模型。
近年来研究者们也关注到了物联网引起的数据泄露风险,建议厂商为用户提供清除设备中数据的方法。另外,一些政府和组织也开始呼吁用户在出售或丢弃二手设备之前清除设备中的数据。尽管各方已经开始关注,但用户究竟有没有(或者能不能)妥善处置设备中存储的敏感数据?据我们所知这个问题目前还没有被系统性的研究过,因此仍然是没有答案的。对上述问题进行全面而深入的研究是非常有必要的,这有助于帮助用户和相关人员理解其中存在的数据泄露风险。
研究方法
-
二手物联网设别中存储着哪些敏感数据? -
用于处置敏感数据的方法有哪些? -
现有的处置方法能否有效地清除设备中的敏感数据?
为了对上述三个研究问题进行深入的分析,本工作融合了多种研究方法。
(1)用户调研。二手物联网设备所带来的用户数据泄露风险很大程度上取决于用户的意识和处置。当一个用户明确了解设备中存储的敏感数据类型并且知道如何妥善处置这些数据时,攻击者获取用户数据的可能性就会大大降低。相反的,如果用户没有意识到设备中存储了敏感数据或者不知道如何处置这些数据,就会面临数据泄漏的风险。因此,本文首先进行了一项用户调研,以理解用户对二手设备敏感数据及处置方法的认知。具体来讲,我们设计了一份在线的调查问题卷,并请321位志愿者填写了这份问卷。这些志愿者涵盖了不同的职业、年龄、教育背景、性别和地理位置。而调查问卷的内容主要包括用户使用物联网设备的经历(例如如何处理二手设备、如何设置设备管理密码等)以及用户的理解(例如用户认为二手设备中存储着什么类型的数据、用户认为各种数据处置方式能否彻底清除设备中的数据等)。此外,为了保证调研结果的质量,调查问卷中设置了一个带有固定答案的问题,用于排除随机填写的无效问卷。最终,本文收集到了277份有效的调查问卷。
(2)敏感数据分析。在用户调研之后,本文希望进一步研究现实情况是否和用户的预期相一致。首先本文希望回答RQ1: 二手物联网设备中存储着哪些敏感数据?为了探究这个问题,直觉上可以从用户手中收集一些二手设备,然后分析其中存储的敏感数据。然而这种方法存在几个固有的缺陷。首先,收集大量的二手设备是不太现实的,因此这种方法难以支撑大规模分析。此外,在不同的用户使用习惯下,相同的设备可能会存储不同的数据,因此这种方法可能造成分析结果的误差。为了解决上述问题并探究RQ1,本文设计了一个新的无需真实设备的分析方法。
图2. 一个路由器中存储的敏感数据(a)及固件中相关的数据收集代码(b)示例。
本文敏感数据分析方法的主要设计思想是“设备存储敏感数据的行为总是伴随着固件中一段收集数据的代码”。图2给出了一个例子,图2(a)所示的一个路由器中存储的用户DDNS信息是由图2(b)所示的固件中的代码所收集得到的。因此,本文将“检测设备中存储的数据”问题转化为了“检测固件中的数据收集”问题。这个方法的优势在于:(1)本方法无需接触任何用户的设备和数据,因此不会带来侵犯用户权益的风险;(2)本方法可以通过收集并分析大量的固件,实现大规模分析;(3)通过报告固件中全部的数据收集行为,本方法能够提供一个全面的分析结果。
基于上述思想,本文设计实现了一个新的敏感数据分析方法。该方法通过检测固件中成对的source/sink API(简称SAPI)识别数据收集行为。例如图2(b)中的“LuciHttp.formvalue” 和“XQDDNS.editDdns”分别是用于获取和存储用户数据的API,它们的组合使用代表了一个数据收集行为。在此过程中,本文还设计了一种双层的API推测方法,通过识别函数封装和配对厂商自定义的未知API来识别更多的SAPI。最终,本方法将一个固件作为输入,首先通过binwalk工具进行固件解包获得其中的Lua文件。然后对Lua文件进行静态分析以识别其中的SAPI及其使用。一旦一个来自source API的数据和一个传播至sink API的数据配对,本方法就会报告一个数据收集行为。目前本方法仅支持Lua文件的分析,这种文件在本文所分析的固件中是被广泛使用的,并且是以源码的形式存在于固件中。后续的实验结果表明这样一个分析系统已经能够支撑本文的分析目标,并发现了大量的数据泄漏风险。进一步完善本方法以支持对PHP等其他文件的分析将是后续的研究方向。
(3)人工分析。接下来本文开展了一项对真实设备的人工分析以研究RQ2和RQ3。首先,本文收集了33个真实的物联网设备,并且基于设备说明书和在线论坛的内容对设备支持的各项功能进行配置。在配置过程中,本文使用了魔数。例如,本文将路由器的WiFi SSID和密码分别配置为“Oakland23WifiSsid” 和“Oakland23WifiPwd”。此后,本文在数据处置前后分别对设备进行取证分析以检测其中的魔数。如果一个魔数在数据处置前后均被检测到,这说明相应的数据处置方法没有起到清除数据的作用。相反的,如果一个数据处置前被检测到的魔数在数据处置后不见了,则认为相应的数据处置方法有效地清除了数据。
在进行取证分析时,本文综合使用了动态分析和静态分析方法。其中动态分析方法是通过设备的各种访问接口连接到设备,然后检测其中的魔数。而静态分析方法则是在设备的存储单元中扫描是否存在魔数。接下来介绍一下本文使用的静态分析方法,本位能够在数据处置后检测到魔数主要是这种方法起到了作用。本方法的主要思路来自于物联网设备所使用存储芯片的一个特性。目前大量的物联网设备使用flash作为存储芯片。而为了延长flash芯片的使用寿命,现有物联网设备常常采用wear-leveling write策略。如图3所示,在wear-leveling write策略下,当想要改写一个已存储的内容,会寻找一个空闲的存储单元将要新内容写入。而存有旧内容的存储单元并不会被清空,仅是被标记为无效。因此,本文可以通过扫描存储单元找到已被“修改”或“删除”的敏感数据。
图3. wear-leveling write策略示例。
数据集
本文使用了两个数据集,分别是包含4000+物联网设备固件的固件数据集和包含33个真实物联网设备的设备数据集。数据集的基本信息如表1和表2所示。这两个数据集都涵盖了多种设备类型及多家业界领先的设备品牌,能够帮助理解现实世界中物联网设备数据处置问题的现状。
表1. 物联网固件数据集
表2. 物联网设备数据集
分析结果
(1)用户调研结果。通过分析收集到的277份调查问卷,本文发现(a)物联网设备的重用现已非常普遍。约有62%的用户曾经售卖、丢弃或出借自己的旧设备,同时有约42%的用户曾经购买或借用来自他人的旧设备。(b)在设备重用的过程中,有大量的用户缺少处置设备中敏感数据的意识或技能。例如,在将二手设备交给他人或丢弃之前,约51%的用户没有进行数据清理。在这些用户中,约43%的人根本不知道如何进行数据清理。用户调研结果表明用户对二手设备复用带来的数据泄露风险还没有清晰的认识,亟需对这个问题进行深入而系统的探究,以帮助用户充分认识自己面临的风险并采取合适的保护行动。
图4. 用户调研的部分结果
表3. 物联网设备中存储的敏感数据的分类
(2)敏感数据分析结果。本文的分析结果表明物联网设备所收集的敏感数据与用户的预期有非常大的差异。(a)设备所收集的数据远远超出了用户的预期,本文的敏感数据分析方法在所检测物联网固件中发现了121,984个敏感数据收集行为。(b)物联网设备中存储了多种类型的敏感数据(表3显示了敏感数据的分类),包括设备管理信息、网络设置信息、第三方账户信息和用户画像信息等。并且其中一些被广泛存储的敏感数据(例如WiFi)被很多用户忽视了。本文的分析结果表明对二手物联网设备进行妥善的数据处置是非常重要的,否则用户将面临严重的数据泄露风险。
(3)取证分析结果。本文的分析结果表明现有物联网设备数据处置方式(包括恢复出厂设置等)并不能保证彻底清除设备中的敏感数据,表4显示了部分设备经过数据处置后,仍可以通过取证分析发现其中的敏感数据。特别值得注意的是,当由于flash自身特性选择采用wear-leveling write策略时,简单的删除文件无法将文件内容从物理存储单元中清除。此外,本文发现大量的设备没有采取加密等保护手段来保障用户数据的安全性,这导致攻击者可能通过一些简单的手段就可以获取设备中的敏感数据。例如,本文发现对某个型号智慧屏幕的特定网络端口发送一个空的网络请求,就可以获得其中存储的WiFi密码。本文的分析结果表明二手物联网设备中的敏感数据面临着严重的泄漏风险。希望本文的研究结果可以促进安全社区针对此问题设计开发有效的数据保护方法。
表4. 经过数据处置后仍可以通过取证分析发现的敏感数据
https://www.computer.org/csdl/proceedings-article/sp/2023/933600b845/1Js0Ep9vMEo
投稿作者介绍:
刘沛宇,毕业于浙江大学ARClab实验室,现为浙江大学NGICS大平台博士后。主要研究方向为系统和软件安全,聚焦于物联网安全与隐私、智能化漏洞挖掘等方向。
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-01-12
