Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

SMASheD: Sniffing and Manipulating Android Sensor Data

摘要

  • 现在的传感器的安全模型主要是限制APP能访问的传感器或者在安装的时候限制了相关的权限
  • 作者发现,可以利用安卓手机(不需要ROOT)中ADB的,能够使得APP在只有访问网络的权限下,实施读取传感器数据、劫持点击、篡改传感器数据等攻击
  • 作者根据上述问题,开发了一个合法的APP,能够正常的实施攻击。

SMASheD

Fig

  • Server:模拟了adb的命令getevent,sendeven

Fig

攻击

  • 嗅探屏幕的点击事件数据
  • 点击劫持:在安装恶意APP的时候模拟点击安装、解锁、攻击一些已有的基于生物特征的安全
  • 篡改其他的传感器:比如亮光的传感器