Brief
- author: Chaoshun Zuo, Zhiqiang Lin, Yinqian Zhang
- IEEE S&P 2019
Introduction
- 系统评估移动终端使用云存储时候的数据泄露
- 编写程序自动化完成评估
- 对各种软件进行评估,给出风险报告
Background
为什么要使用 Cloud API?
减少成本,无需自己搭建后端或租用服务器,无需考虑鲁棒性和伸缩性。
Cloud API 的两种秘钥
- app key: 有限权限,用于访问公开数据并可以隔离资源,防止在用户app中。
- root key: 完整的访问权限,用于开发和管理
系统分析
- 秘钥误用,将两种秘钥混用
- 访问控制配置错误
自动化分析框架
方法:根据 API 的句柄、输入输出参数来判断。
包括:Cloud API identification、String Value identification 和 Vulnerability Identification。
评估
对大量程序进行了分析,分析结果略
本人保留对侵权者及其全家发动因果律武器的权利
版权提醒
如无特殊申明,本站所有文章均是本人原创。转载请务必附上原文链接:https://www.elliot98.top/post/lab/ps2019-2/。
如有其它需要,请邮件联系!版权所有,违者必究!