Why Does Your Data Leak? Uncovering the Data Leakage in Cloud from Mobile Apps

2019-07-09 46 Words S& p2019 Cloud security

Brief

  • author: Chaoshun Zuo, Zhiqiang Lin, Yinqian Zhang
  • IEEE S&P 2019

Introduction

  1. 系统评估移动终端使用云存储时候的数据泄露
  2. 编写程序自动化完成评估
  3. 对各种软件进行评估,给出风险报告

Background

为什么要使用 Cloud API?

减少成本,无需自己搭建后端或租用服务器,无需考虑鲁棒性和伸缩性。

Cloud API 的两种秘钥

  1. app key: 有限权限,用于访问公开数据并可以隔离资源,防止在用户app中。
  2. root key: 完整的访问权限,用于开发和管理

系统分析

  1. 秘钥误用,将两种秘钥混用
  2. 访问控制配置错误

自动化分析框架

方法:根据 API 的句柄、输入输出参数来判断。

包括:Cloud API identification、String Value identification 和 Vulnerability Identification。

评估

对大量程序进行了分析,分析结果略