Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

Peeking Into Your App Without Actually Seeing It: UI State Inference and Novel Android Attacks

论文下载

Abstract

针对目前移动手机的GUI系统的界面生成机制,通过shared memory,cpu信息,网络连接信息获取手机隐私数据的攻击

Transition Detection

Fig

为了监控手机何时会有activity的转化,需要监控shared memory 可以监控app process和window compositor process(SurfaceFlinger) /proc/pid/statm

Infer Activity

为了确定发生transition后的activity,为每个act提取特征,并训练出Activity transition graph,最终给出一个可能性从高到低的list。

  1. input method events—→a window event for keyboard process—>shared memory
  2. content provider events—>Content Provider
  3. CPU 占用时间(最重要) /proc/pid/stat
  4. Network events /proc/uid_stat/uid/tcp_snd /proc/net/tcp6

Evaluation

  1. Transition Detection:准确率高于96.5% 漏报率和误报率均低于5%,延迟低于1300ms
  2. Infer Activity

Fig

应用

  • 钓鱼APP:后台恶意APP检测到需要用户输入的activity出现后,强制弹出一个一模一样的activity,截取用户输入的数据。
  • 偷拍:后台恶意APP检测到需要拍照的activity出现后,请求camera,直到能请求为止。previewCallback