网安学院袁斌在BlackhatAsia2021作研究成果报告

 5月4日至7日，Blackhat Asia 2021线上召开。我校网安学院教师袁斌在大会上报告了他在USENIX Security 2020录用的研究成果。

本研究由袁斌与南开大学贾岩博士、美国印第安纳大学布鲁明顿分校的邢璐祎教授、王晓峰教授合作完成。研究者对智能家居服务中跨云授权机制的安全问题进行了系统性的研究，首次提出了面向跨物联网云平台授权机制的安全形式化验证方法，研发了能够对跨平台授权机制进行（半）自动化安全验证的工具VerioT。

研究者使用VerioT工具，对包括涂鸦智能、Google Home、Philips Hue、Samsung SmartThings、LIFX等在内的10个国内外主流智能家居云服务平台进行了授权机制的漏洞分析与验证，发现了设备敏感信息泄露、授权数据泄露、OAuth令牌泄露、授权API滥用等多个漏洞。利用这些漏洞，攻击者可以实现对智能门锁、智能开关、智能灯泡等各种智能家居设备的恶意控制，使得高达数百万用户的智能家居系统和服务受到严重的安全威胁。

这一研究成果受到了工业界和学术界的广泛关注，在收到研究者的漏洞报告后，Philips、Samsung SmartThings等厂商高度重视并与研究者一起及时对漏洞进行了修复，保障了智能家居用户的安全。此外，Samsung SmartThings 还通过其漏洞报告奖励计划对所发现的漏洞给予了奖励；研究成果在系统安全国际顶级学术会议USENIX Security 2020上发表，在工业界安全国际顶级会议Blackhat Asia 2021上进行了报告，受到国际知名网络安全新闻媒体Dark reading的采访报道。

Black Hat大会被公认为世界信息安全行业的最高盛会，也是最具技术性的信息安全会议。每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会，会议聚焦先进安全研究、发展和趋势，对来自全球各地提交安全技术议题的筛选评估十分严苛，每年议题的通过率不足20%，以其强技术性、权威性、客观性引领未来安全思想和技术的走向。

【免责申明】本专题图片均来源于学校官网或互联网，若有侵权请联系400-0815-589删除。