近日，第40届 IEEE/ACM 自动化软件工程国际会议（ASE 2025）在韩国首尔召开。山东大学网络空间安全学院在物联网安全方向的最新研究成果被大会录用并作口头报告。该论文是山东大学首次以第一作者单位在 ASE 会议发表的研究成果，论文共同第一作者为学院研究生李文智和郭嘉龙，通讯作者为刁文瑞教授。

该研究成果题为“FirmProj: Detecting Firmware Leakage in IoT Update Processes via Companion App Analysis”，针对物联网设备固件更新流程中的验证不足问题，面向大规模物联网配套移动应用，设计并实现了自动化分析工具 FirmProj，用于识别更新流程中的固件泄漏风险。工具结合先进静态分析与大语言模型技术，对10,047款应用进行了系统性扫描，并成功从428款应用中提取出3,434个固件文件。研究揭示了物联网生态在固件更新阶段普遍存在的严重安全隐患，相关漏洞已获得35个 CVE 编号，其中22个被评为高危级漏洞（High），9个被评为超危级漏洞（Critical），为进一步强化 IoT 固件保护机制提供了重要参考。

FIRMPROJ架构图

ACM/IEEE International Conference on Automated Software Engineering (ASE) 为软件工程领域 CCF-A 类国际学术会议，被公认为软件工程“四大顶级会议”之一，其收录论文长期代表自动化软件工程领域最高研究水平。本次大会共收到1190篇投稿，最终录用247篇，录用率为20.8%。

论文详情见：

https://conf.researchr.org/details/ase-2025/ase-2025-papers/247/FirmProj-Detecting-Firmware-Leakage-in-IoT-Update-Processes-via-Companion-App-Analys

文：刁文瑞、郭嘉龙

图：郭嘉龙

编辑：沈雨彤