論文の概要: A Large-Scale Study of IoT Security Weaknesses and Vulnerabilities in
the Wild
- arxiv url: http://arxiv.org/abs/2308.13141v1
- Date: Fri, 25 Aug 2023 02:34:11 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 12:35:25.745650
- Title: A Large-Scale Study of IoT Security Weaknesses and Vulnerabilities in
the Wild
- Title(参考訳): 野生におけるIoTセキュリティの脆弱性と脆弱性に関する大規模研究
- Authors: Madhu Selvaraj, Gias Uddin
- Abstract要約: モノのインターネット(モノのインターネット、Internet of Things、IoT)は、スマートコンピューティングデバイスを介してインターネットやネットワーク上での場所と物理的オブジェクト(物)の接続として定義される。
以前の調査では、Stack Overflowで共有されたC/C++コードの例で脆弱性や脆弱性が見つかった。
本稿では,3つのStack Exchangeサイトで共有されているIoT C/C++コード例について,大規模な実証的研究を行う。
- 参考スコア(独自算出の注目度): 0.5076419064097734
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Internet of Things (IoT) is defined as the connection between places and
physical objects (i.e., things) over the internet/network via smart computing
devices. We observed that IoT software developers share solutions to
programming questions as code examples on three Stack Exchange Q&A sites: Stack
Overflow (SO), Arduino, and Raspberry Pi. Previous research studies found
vulnerabilities/weaknesses in C/C++ code examples shared in Stack Overflow.
However, the studies did not investigate C/C++ code examples related to IoT.
The studies investigated SO code examples only. In this paper, we conduct a
large-scale empirical study of all IoT C/C++ code examples shared in the three
Stack Exchange sites, i.e., SO, Arduino, and Raspberry Pi. From the 11,329
obtained code snippets from the three sites, we identify 29 distinct CWE
(Common Weakness Enumeration) types in 609 snippets. These CWE types can be
categorized into 8 general weakness categories, and we observe that evaluation,
memory, and initialization related weaknesses are the most common to be
introduced by users when posting programming solutions. Furthermore, we find
that 39.58% of the vulnerable code snippets contain instances of CWE types that
can be mapped to real-world occurrences of those CWE types (i.e. CVE
instances). The most number vulnerable IoT code examples was found in Arduino,
followed by SO, and Raspberry Pi. Memory type vulnerabilities are on the rise
in the sites. For example, from the 3595 mapped CVE instances, we find that
28.99% result in Denial of Service (DoS) errors, which is particularly harmful
for network reliant IoT devices such as smart cars. Our study results can guide
various IoT stakeholders to be aware of such vulnerable IoT code examples and
to inform IoT researchers during their development of tools that can help
prevent developers the sharing of such vulnerable code examples in the sites.
[Abridged].
- Abstract(参考訳): モノのインターネット(モノのインターネット、Internet of Things、IoT)は、スマートコンピューティングデバイスを介してインターネットやネットワーク上での場所と物理的オブジェクト(物)の接続として定義される。
私たちはIoTソフトウェア開発者が,Stack Exchangeの3つのQ&Aサイト – Stack Overflow (SO), Arduino, Raspberry Pi – で,プログラミング問題に対するソリューションをコード例として公開しているのを観察しました。
以前の調査では、Stack Overflowで共有されたC/C++コードの例で脆弱性や脆弱性が見つかった。
しかし、研究はIoTに関連するC/C++コードの例を調査しなかった。
研究はコード例のみを調査した。
本稿では,3つのStack Exchangeサイトで共有されているIoT C/C++コード例,すなわちSO,Arduino,Raspberry Piに関する大規模な実証的研究を行う。
11,329個のサイトから得られたコードスニペットから、29種類のCWE(Common Weakness Enumeration)を609個のスニペットで同定した。
これらのCWEタイプは8つの一般的な弱点カテゴリに分類でき、評価、メモリ、初期化に関連する弱点は、プログラミングソリューションを投稿する際に最も一般的に導入される。
さらに、脆弱なコードスニペットの39.58%には、これらのCWEタイプの実際の発生(CVEインスタンス)にマッピング可能なCWE型のインスタンスが含まれていることが判明した。
最も脆弱なIoTコードの例はArduinoで、その後にSO、Raspberry Piが続いた。
メモリタイプの脆弱性がサイトを増加させています。
例えば、3595のマッピングされたcveインスタンスでは、28.99%がdos(denial of service)エラーを引き起こしており、これは特にスマートカーのようなネットワーク依存のiotデバイスに有害である。
我々の研究結果は、さまざまなIoT利害関係者がこのような脆弱なIoTコード例を認識し、IoT研究者に、脆弱性のあるコード例をサイト内で共有するのを防ぐツールの開発中に通知するように誘導することができる。
abridged (複数形 abridgeds)
関連論文リスト
- Just another copy and paste? Comparing the security vulnerabilities of ChatGPT generated code and StackOverflow answers [4.320393382724067]
この研究は、ChatGPTとStackOverflowスニペットの脆弱性を実証的に比較する。
ChatGPTはSOスニペットにある302の脆弱性と比較して248の脆弱性を含んでおり、統計的に有意な差のある20%の脆弱性を生み出した。
この結果から,両プラットフォーム間の安全性の低いコード伝搬について,開発者が教育を受けていないことが示唆された。
論文 参考訳(メタデータ) (2024-03-22T20:06:41Z) - Classification of cyber attacks on IoT and ubiquitous computing devices [49.1574468325115]
本稿ではIoTマルウェアの分類について述べる。
攻撃の主要なターゲットと使用済みのエクスプロイトが特定され、特定のマルウェアを参照される。
現在のIoT攻撃の大部分は、相容れない低い労力と高度なレベルであり、既存の技術的措置によって緩和される可能性がある。
論文 参考訳(メタデータ) (2023-12-01T16:10:43Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - What Makes Good In-context Demonstrations for Code Intelligence Tasks
with LLMs? [60.668318972782295]
大規模言語モデルは、文脈内学習(ICL)の能力を示している。
ICLはタスク命令といくつかの例をデモとして使用し、次に予測を行うために言語モデルにデモを入力します。
コードに関連するタスクに対して,優れたデモを構築する方法について,体系的に検討することが重要である。
論文 参考訳(メタデータ) (2023-04-15T15:13:58Z) - Effectiveness of Transformer Models on IoT Security Detection in
StackOverflow Discussions [0.0]
IoT Security dataset"は、IoTセキュリティに関する議論に特化した7147のサンプルからなる、ドメイン固有のデータセットである。
IoTセキュリティに関する議論は、従来のセキュリティに関する議論とは異なる、より複雑であることがわかった。
論文 参考訳(メタデータ) (2022-07-29T08:18:03Z) - One-off Events? An Empirical Study of Hackathon Code Creation and Reuse [69.98625403567553]
ハッカソンイベントで使用されたり作成されたりするコードの進化を理解することを目的としています。
DevPostから22,183のハッカソンプロジェクトに関する情報を収集しました。
論文 参考訳(メタデータ) (2022-07-03T11:49:52Z) - An Empirical Study of IoT Security Aspects at Sentence-Level in
Developer Textual Discussions [0.8029049649310213]
Stack Overflowでセキュリティ関連のIoTに関する議論を自動的に見つけることができるモデルを開発した。
モデル出力を調査して、IoT開発者セキュリティ関連の課題について学ぶ。
論文 参考訳(メタデータ) (2022-06-07T07:54:35Z) - Developing and Defeating Adversarial Examples [0.0]
近年の研究では、ディープニューラルネットワーク(DNN)が敵の例によって攻撃可能であることが示されている。
本研究では, ヨーロV3物体検出器を攻撃するための逆例を開発する。
次に、これらの例を検出し、中和する戦略について研究する。
論文 参考訳(メタデータ) (2020-08-23T21:00:33Z) - Predicting Vulnerability In Large Codebases With Deep Code
Representation [6.357681017646283]
ソフトウェアエンジニアは様々なモジュールのコードを書きます。
過去に(異なるモジュールで)修正された同様の問題やバグも、本番コードで再び導入される傾向にある。
ソースコードから生成した抽象構文木(AST)の深部表現とアクティブフィードバックループを用いた,AIに基づく新しいシステムを開発した。
論文 参考訳(メタデータ) (2020-04-24T13:18:35Z) - 3D IoU-Net: IoU Guided 3D Object Detector for Point Clouds [68.44740333471792]
正規分類と回帰分岐に3D IoU予測分岐を付加する。
我々は,IoU感度特徴学習とIoUアライメント操作を併用した3次元IoU-Netを提案する。
KITTIカー検出ベンチマークの実験結果から,IoU知覚による3次元IoU-Netが最先端性能を実現することが示された。
論文 参考訳(メタデータ) (2020-04-10T09:24:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。