【InForSec2023 年会论坛回顾】南雨宏：大规模物联网设备隐私泄露隐患研究

南雨宏老师首先介绍道，随着智能家居，健康医疗等行业的快速发展，越来越多的智能物联网设备出现在人们的日常工作和生活中，很多人对物联网设备数据使用的安全性隐患表示了担忧，先后有很多报道表示用户数据会在用户不知情的情况下被窃取，或者说，数据的使用方式超出了用户的预期，造成了很大的安全问题。

由此产生了两个值得研究的问题：这些物联网设备收集了哪些类型的数据，以及这些数据如何被使用和分享的？

随后，南老师指出针对这两个研究问题的现有工作因各自的局限性无法支持大规模、细粒度的分析。

因此，南老师致力于实现对在野的物联网设备数据暴露问题进行大规模的细粒度分析。

为了实现这一目标，南老师首先介绍了他们对于物联网设备工作机制的分析。第一个关键发现是关于物联网设备的两种主流数据传输模式：第一种，对于一些功能简单的小型设备，联网实际上是通过手机来完成的。连接交互的渠道包括蓝牙、NFC。最终，相关的数据会在手机端进行汇总、语义标注，然后上传到云端（不管需不需要，厂商觉得需要就有可能传）；第二种，有些设备是直连云端，或者通过网关来直连云端的。但是同时，相当一部分数据通过云端又同步到手机上，展示给用户，因为手机是用户跟IoT设备的重要交互媒介，也是信息交换的窗口。这两种模式都与手机息息相关，因此，南老师想到从手机端来分析物联网设备相关的信息。

第二个重要观察是App端对IoT数据的处理从代码分析角度来看，具有丰富的语义信息。很多物联网设备固件中看不到的内容，在App代码当中都有对应的描述。例如很多数据具有聚集特征，从软件开发的角度来讲，开发者会把设备相关的信息打包成代码块，方便数据传输、管理。代码块中，特定的IoT数据点会有单独的文本标签用来做标注。

基于这两个重要观察，南老师提出了他们设计的分析工具IoTProfiler，其中两个核心模块分别负责定位IoT设备手机应用中的数据标识符和识别潜在的隐私风险。

接下来，南老师对IoTProfiler实现过程中的挑战和解决方案进行了展开介绍。首先是对IoT敏感设备的分类，为了解决IoT设备数据高度多样性的挑战，南老师团队通过分析29篇近年来的相关研究论文和47篇报告，人工提取了不同类型的隐私风险和对应的数据点，最终获得包含7个子类型的550个数据项。

其次，IoT设备数据通常和app中的普通数据混合在一起，难以区分。针对这一难题，南老师提出了一个两级分类器，对数据进行过滤。

此外，对于分析过程中的变量绑定和数据暴露检测，南老师也进行了简单的介绍，更多的技术细节可以深入阅读论文进行学习。

随后，南老师介绍了IoTProfiler的实验结果，证明了该工具的有效性。

在对97个检测出的暴露数据进行动态验证发现70个可被确认确实存在暴露，至于剩下的27个数据项，由于加密通信等问题，难以验证，因此不代表一定是误报。

在大规模实验分析中，发现绝大多数app中都检测出了有效的IoT设备数据，并且有超过30%的IoT设备厂商在未经通知的情况下私自收集敏感的IoT设备数据。

特别地，南老师还发现来自中国应用市场的（物联网设备）APP更容易或者说更激进的收集和使用设备数据。

除了这些实验结果的统计分析，南老师还介绍了几个有趣的案例分析，以一个智能手环为例，他们发现这个智能手环在收集了用户的心率，睡眠时间等信息后，除了上传到厂商的服务器外，还拷贝了一份发送给了一个第三方服务器，这个服务器主要是为一些保险公司提供分析数据。

最后，南老师对IoTProfiler的局限性进行了讨论，目前对IoT敏感数据的分类并不是特别完整，此外，对于混淆后的APP以及APP中的动态特性等无法有效地进行处理。

在报告结束之前，南老师分享了自己的研究领域和兴趣方向，欢迎有兴趣的同行学者进行交流。