論文の概要: IoTFuzzSentry: A Protocol Guided Mutation Based Fuzzer for Automatic Vulnerability Testing in Commercial IoT Devices

• arxiv url: http://arxiv.org/abs/2509.09158v1
• Date: Thu, 11 Sep 2025 05:40:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-12 16:52:24.23964
• Title: IoTFuzzSentry: A Protocol Guided Mutation Based Fuzzer for Automatic Vulnerability Testing in Commercial IoT Devices
• Title（参考訳）: IoTFuzzSentry: 商用IoTデバイスの自動脆弱性テストのためのプロトコルガイドによるミューテーションベースのファズー
• Authors: Priyanka Rushikesh Chaudhary, Rajib Ranjan Maiti,
• Abstract要約: 我々は、商用IoTデバイスの特定の非自明な脆弱性を特定するために、IoTFuzzSentryという突然変異ベースのファジリングツールを提案する。 これらの脆弱性が現実世界のシナリオでどのように悪用されるかを示す。 私たちはこれらの脆弱性を各ベンダーに責任を持って公開しました。
• 参考スコア（独自算出の注目度）: 1.5970777144214099
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Protocol fuzzing is a scalable and cost-effective technique for identifying security vulnerabilities in deployed Internet of Things devices. During their operational phase, IoT devices often run lightweight servers to handle user interactions, such as video streaming or image capture in smart cameras. Implementation flaws in transport or application-layer security mechanisms can expose IoT devices to a range of threats, including unauthorized access and data leakage. This paper addresses the challenge of uncovering such vulnerabilities by leveraging protocol fuzzing techniques that inject crafted transport and application-layer packets into IoT communications. We present a mutation-based fuzzing tool, named IoTFuzzSentry, to identify specific non-trivial vulnerabilities in commercial IoT devices. We further demonstrate how these vulnerabilities can be exploited in real-world scenarios. We integrated our fuzzing tool into a well-known testing tool Cotopaxi and evaluated it with commercial-off-the-shelf IoT devices such as IP cameras and Smart Plug. Our evaluation revealed vulnerabilities categorized into 4 types (IoT Access Credential Leakage, Sneak IoT Live Video Stream, Creep IoT Live Image, IoT Command Injection) and we show their exploits using three IoT devices. We have responsibly disclosed all these vulnerabilities to the respective vendors. So far, we have published two CVEs, CVE-2024-41623 and CVE-2024-42531, and one is awaiting. To extend the applicability, we have investigated the traffic of six additional IoT devices and our analysis shows that these devices can have similar vulnerabilities, due to the presence of a similar set of application protocols. We believe that IoTFuzzSentry has the potential to discover unconventional security threats and allow IoT vendors to strengthen the security of their commercialized IoT devices automatically with negligible overhead.
• Abstract（参考訳）: プロトコルファジィング(Protocol fuzzing)は、デプロイされたIoTデバイスのセキュリティ脆弱性を特定するための、スケーラブルで費用対効果の高いテクニックである。 運用期間中、IoTデバイスは、ビデオストリーミングやスマートカメラのイメージキャプチャといったユーザインタラクションを処理するために、軽量サーバを運用することが多い。 トランスポートやアプリケーション層セキュリティメカニズムの実装上の欠陥は、不正アクセスやデータ漏洩など、IoTデバイスをさまざまな脅威に晒す可能性がある。 本稿では,IoT通信にクラフトトランスポートとアプリケーション層パケットを注入するプロトコルファジィング技術を活用することで,そのような脆弱性を明らかにすることの課題に対処する。 我々は、商用IoTデバイスの特定の非自明な脆弱性を特定するために、IoTFuzzSentryという突然変異ベースのファジリングツールを提案する。 さらに、これらの脆弱性が現実世界のシナリオでどのように悪用されるかを実証する。 私たちはファジィツールを有名なテストツールであるCotopaxiに統合し、IPカメラやSmart Plugといった市販のIoTデバイスで評価しました。 評価の結果,脆弱性は4つのタイプ(IoT Access Credential Leakage, Sneak IoT Live Video Stream, Creep IoT Live Image, IoT Command Injection)に分類された。 私たちはこれらの脆弱性を各ベンダーに責任を持って公開しました。 これまでに、CVE-2024-41623とCVE-2024-42531という2つのCVEを公開しています。 適用性を高めるため、我々は6つのIoTデバイスのトラフィックを調査し、分析により、同様のアプリケーションプロトコルが存在するため、これらのデバイスが同様の脆弱性を持つ可能性があることが示された。 IoTFuzzSentryは、従来からないセキュリティ脅威を発見し、IoTベンダが、無視できるオーバーヘッドで、商用IoTデバイスのセキュリティを自動的に強化できる可能性がある、と私たちは信じています。

関連論文リスト

• Intelligent Detection of Non-Essential IoT Traffic on the Home Gateway [45.70482328441101]
  本研究は,エッジにおけるネットワークの挙動を解析することにより,非必要IoTトラフィックを検出し緩和するシステムであるML-IoTrimを提案する。 当社のフレームワークは、IoTデバイスを5つのカテゴリから構成したコンシューマスマートホームセットアップでテストし、モデルが非本質的なトラフィックを正確に識別し、ブロックできることを実証した。 この研究は、スマートホームにおけるプライバシーに配慮したトラフィック制御を推進し、IoTデバイスプライバシの今後の発展への道を開く。
  論文  参考訳（メタデータ） (2025-04-22T09:40:05Z)
• Is Your Kettle Smarter Than a Hacker? A Scalable Tool for Assessing Replay Attack Vulnerabilities on Consumer IoT Devices [1.5612101323427952]
  ENISAとNISTのセキュリティガイドラインは、安全と信頼性のためのデフォルトのローカル通信を可能にすることの重要性を強調している。 我々はREPLIOTというツールを提案し、ターゲットデバイスについて事前の知識を必要とせずに、リプレイ攻撃が成功したかどうかを検証できる。 残りの75%のデバイスは、検出精度0.98-1のREPLIOTによるリプレイ攻撃に対して脆弱であることがわかった。
  論文  参考訳（メタデータ） (2024-01-22T18:24:41Z)
• Classification of cyber attacks on IoT and ubiquitous computing devices [49.1574468325115]
  本稿ではIoTマルウェアの分類について述べる。 攻撃の主要なターゲットと使用済みのエクスプロイトが特定され、特定のマルウェアを参照される。 現在のIoT攻撃の大部分は、相容れない低い労力と高度なレベルであり、既存の技術的措置によって緩和される可能性がある。
  論文  参考訳（メタデータ） (2023-12-01T16:10:43Z)
• IoTScent: Enhancing Forensic Capabilities in Internet of Things Gateways [45.44831696628473]
  本稿では,IoTゲートウェイとホームオートメーションプラットフォームがIoTトラフィックのキャプチャと分析を行うことを可能にする,オープンソースの法医学ツールであるIoTScentを紹介する。 IoTScentは特に、Zigbeeや6LoWPAN、Threadといった多くのIoT固有のプロトコルの基礎であるIEEE5.4ベースのトラフィックを操作するように設計されている。 この作業は、Zigbeeトラフィックからデバイス識別を実行するためのツールの使用を実証する実用的なユースケースを含む、IoTScentツールの包括的な説明を提供する。
  論文  参考訳（メタデータ） (2023-10-05T09:10:05Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Caveat (IoT) Emptor: Towards Transparency of IoT Device Presence (Full Version) [12.842258850026878]
  隠れたIoTデバイスは、近くの未確認ユーザを(センサーを介して)スヌープし、アクティベーションを通じて、ユーザが知らない環境に影響を与えることができる。 本稿ではPAISAと呼ばれるデバイスのためのプライバシ・アグリゲーション・ルートフトラストアーキテクチャを構築する。 IoTデバイスの存在と機能について、タイムリーでセキュアな発表を保証します。
  論文  参考訳（メタデータ） (2023-09-07T09:08:31Z)
• IoT Device Identification Based on Network Communication Analysis Using Deep Learning [43.0717346071013]
  組織のネットワークに対する攻撃のリスクは、セキュリティの低いIoTデバイスの使用の増加によって増大している。 この脅威に対処し、ネットワークを保護するために、組織は通常、ホワイトリストのIoTデバイスのみをネットワーク上で許可するセキュリティポリシを実装します。 本研究では、ネットワーク上で許可されたIoTデバイスの自動識別のためのネットワーク通信にディープラーニングを適用した。
  論文  参考訳（メタデータ） (2023-03-02T13:44:58Z)
• Zero-Bias Deep Learning for Accurate Identification of Internet of Things (IoT) Devices [20.449229983283736]
  物理層信号を用いたIoTデバイス識別のための拡張ディープラーニングフレームワークを提案する。 航空におけるIoTの応用であるADS-B(Automatic Dependent Surveillance-Broadcast)の実データを用いて,提案手法の有効性を評価した。
  論文  参考訳（メタデータ） (2020-08-27T20:50:48Z)
• IoT Device Identification Using Deep Learning [43.0717346071013]
  組織におけるIoTデバイスの利用の増加は、攻撃者が利用可能な攻撃ベクトルの数を増やしている。 広く採用されている独自のデバイス(BYOD)ポリシにより、従業員が任意のIoTデバイスを職場に持ち込み、組織のネットワークにアタッチすることで、攻撃のリスクも増大する。 本研究では、ネットワークトラフィックにディープラーニングを適用し、ネットワークに接続されたIoTデバイスを自動的に識別する。
  論文  参考訳（メタデータ） (2020-02-25T12:24:49Z)
• IoT Behavioral Monitoring via Network Traffic Analysis [0.45687771576879593]
  この論文は、IoTのネットワーク行動パターンをプロファイリングする技術を開発する上で、私たちの努力の成果である。 我々は、交通パターンの属性で訓練された、堅牢な機械学習ベースの推論エンジンを開発する。 99%以上の精度で28台のIoTデバイスのリアルタイム分類を実演する。
  論文  参考訳（メタデータ） (2020-01-28T23:13:12Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。