白泽带你读论文｜MPChecker

该工具包括3个步骤。首先，通过分析所研究系统的运行时日志及其字节码（目前该工具只能分析 Java 程序）自动推断出与用户和系统相关的变量。接下来，根据推断出的变量集中识别权限检查和特权操作。在最后一步中，那些不受权限检查保护的特权操作如果可以从公共接口访问，则被报告为 MPC 漏洞。

阶段1：推断用户与系统相关变量

用户相关变量识别

规则1：如果变量与用户变量或另一个用户相关变量打印在同一日志实例中，则该变量是用户相关变量。

规则2：如果一个变量的类型与用户相关变量的类型相匹配，那么它就是一个用户相关变量。

在以下几种情况，𝑇𝐴和𝑇𝐵相匹配：

1）𝑇𝐴是一个与𝑇𝐵相同或继承于𝑇的对象类型，2）𝑇𝐴是一个元素类型与𝑇𝐵相匹配的集合，或者3）𝑇𝐴有一个索引字段，其类型与𝑇𝐵相匹配。

阶段2：识别权限检查和特权操作

阶段3 检测MPC漏洞

如果存在一个从程序入口（公共API的入口）到特权操作的程序路径，并且路径中没有任何权限检查，便将其作为MPC漏洞进行报告。文章将MPC漏洞的检测看作一个经典的IFDS（程序间、有限、分布、子集）数据流问题。将大量程序间数据流问题作为一个广义的图形可达性问题来解决。数据流分析最终得到的结果为真或假，真表示存在MPC漏洞，假则表示没有。在一个公共API的入口处，该值被初始化为 "true"，只有通过权限检查才会被设置为 "false"。在一个程序点上，当多条路径汇合时，不同路径上的结果值用∨运算符合并起来。如果分析的结果在权限操作处为true，工具将报告一个MPC漏洞。

例如在下图①处，初始结果设为true，当程序运行进入if分支时，此时的路径为①->②->⑤，而19行处存在未受保护的特权指令，因此这条路径的结果是true。当运行else分支时，此时的路径为③->④->⑤，第七行为权限检查，因此结果设置为false。最终两路结果相并得到True，因此存在MPC漏洞。

RQ1.  MPChecker 识别特权操作的精确度如何？

能否准确识别特权操作是工具有效性的关键。下表总结了每个系统的相关变量的数量（第 2-4 列）、特权操作的数量（第 5-7 列）以及派生的权限检查 API 的数量（第8 列）。MPChecker 自动推断出了数以千计的用户相关（第 2 列）和系统相关（第 3 列）变量，访问这些变量会产生数百个特权操作，如第 7 列所示。作者已经手动检查了每个操作，并确认它们都按预期访问了用户或系统相关的变量，因此是确为特权操作。后来的实验进一步证实，这些访问中的大多数都是真正的特权操作：只有 5 次误报是由不正确的特权操作引入的。因为很难自动化地检测是否漏掉了特权操作，作者手动检查了所有属于被评估系统的研究漏洞中的错误触发操作后，发现只漏了一个特权操作，因为它访问了一个未打印在日志中的用户相关变量。

RQ2.  MPChecker 检测 MPC漏洞的效率如何？

下表总结了检测已知漏洞的结果。作者选择了5个Java系统中的所有57个MPC漏洞。在这57个漏洞中，MPChecker成功检测出50个漏洞，漏报7个漏洞，召回率为87.8%。漏报原因包括：跨系统交互、返回clusterID、region等开发者或用户认为无隐私泄露风险的变量、系统本身允许这种特权操作，因此没有设置权限检查。

下表给出了MPChecker报告的44个新漏洞。对于每个报告的漏洞，作者列出了暴露该漏洞的公共API，特权操作的类型（第3栏），相关的变量（第4-6栏），以及涉及的组件数量（第7栏）。

RQ3.  MPChecker 的效率如何？

下表展示了分析每个系统的时间。第1列显示该系统的代码行数 (LOC)，第2列给出运行每个系统时生成的日志实例数。可以看到，除了MapReduce（1089），其他系统的日志实例都不到1000个。第3 - 5列分别是每个步骤的分解时间，第6列是总分析时间。大部分分析时间由IFDS求解器在第3步（第5列）中消耗。CloudStack有1764个API，因此分析耗时最长（17.15小时）。Zookeeper可以在3分钟内分析出来，因为它只有7个公共 API。

供稿：侯乔聃

审稿：施游堃、邬梦莹、洪赓

排版：边顾

戳“阅读原文”即可查看论文原文哦~