近日，2021级硕士生郑开民和2020级硕士生万俊（导师袁斌副教授）合作的论文“物联网云服务中API滥用的风险分析与检测”被CCF A类中文期刊《中国科学：信息科学》录用。

该论文对智能家居云服务中的API滥用问题进行研究，发现并验证了SmartThings智能家居平台中SmartApp滥用API导致的多类安全风险，进而设计了智能家居云平台API滥用行为的检测工具SmartNotify。具体而言，该论文发现攻击者可以利用SmartThings平台中的向外推送信息、获取网络服务、获取第三方服务授权信息等风险API实施攻击，可造成用户敏感信息泄露、恶意代码传播、构建钓鱼网站等后果。为了应对上述安全风险，该论文设计了安全检测工具SmartNotify，该工具包含源代码分析器、配置文件处理器、配置文件分析器三个核心组件。SmartNotify将SmartApp作为输入，通过分析其源代码，识别并定位敏感API调用，自动分析其可能的恶意行为，并输出警报信息，以协助普通用户（非专业人员）提升智能家居系统的安全性。在评估实验中，SmartNotify对每个SmartApp的完整检测时间在130ms左右，发现了361个SmartApp中的63种API滥用导致的安全风险。

《中国科学：信息科学》主要关注包括计算机科学与技术、控制科学与控制工程、通信与信息系统、电子科学与技术等领域基础与应用研究方面的原创性成果和技术，是中国计算机学会（CCF）推荐的A类中文期刊，每年刊出12期。

（通讯员：郑开民）