我院贾岩老师论文入选国际顶级会议ACM CCS 2021

28届国际信息安全顶级会议ACM CCS (ACM Conference on Computer and Communications Security) 将于202111月15日在韩国首尔举行(受疫情影响改为线上会议),南开大学网络空间安全学院贾岩老师的论文Who's In Control? On Security Risks of Disjointed IoT Device Management Channels被会议全文录用。

ACM CCS与IEEE S&PUSENIX SecurityNDSS并列为计算机安全领域四大顶级会议,收录研究机构以及科技企业在计算机安全和隐私研究领域最前沿、最顶级的研究成果,被中国计算机学会(CCF)认定为网络与信息安全领域A类国际学术会议,过去五年录取率为17%左右。该论文也是天津地区高校和研究机构首次在该顶级会议上以第一完成单位发表论文

该论文首次发现并系统性地研究了消费物联网设备集成多个控制通道存在的新型安全风险,促使众多厂商对其智能家居设备的安全性进行了改进。具体而言,该研究工作针对市场主流的四类第三方设备管理通道(Device Management Channel,DMC),基于设备生命周期状态机模型对十余款流行的智能家居设备进行人工安全分析,发现消费物联网控制通道之间缺乏安全性协调(命名为Chaotic Device Management,Codema),使得攻击者能够获得目标设备的未授权访问,例如隐蔽地打开智能门锁、车库门等敏感设备,影响了HomeKit、August、Philips Hue、ismartgate, Abode、Xiaomi等众多流行的智能家居厂商。同时,该工作进一步开展了广泛的用户调研,证明了Codema攻击在现实中的可行性。最后,为缓解该问题设计并开源实现了能够被设备厂商快速部署的访问控制框架CGuard,来安全地管理多设备管理通道。我院贾岩老师为论文第一作者,合作单位包括华中科技大学、美国印第安纳大学、西安电子科技大学、中国科学院大学等。

贾岩老师长期从事系统安全领域研究工作,作为主要作者发表系统安全四大顶级会议论文4篇,并多次于工业界国际知名安全会议Blackhat做报告。曾发现了国内外主流物联网平台系统设计与实现中的众多未知安全问题,相关漏洞成果引起国际标准组织OASIS重视并公开在线讨论,得到众多国际知名厂商和组织的认可与致谢(包括AWS、Microsoft、Google、IBM、Alibaba、Baidu、Apple、Samsung、Eclipse等)和授予多个CVE、CNVD编号,并被安全媒体Dark Reading采访和报道。