Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

Mystique: Uncovering Information Leakage From Browser Extensions

作者: Quan ChenAlexandros Kapravelos

单位:North Carolina State University

会议:CCS’18

原文链接:https://www.kapravelos.com/publications/mystique-CCS18.pdf

1 简介

浏览器的第三方扩展程序可以注入一些JavaScript代码得到一些私密信息(例如:URL、cookies、输入等),也可以使用特权JavaScript扩展API直接访问私密信息(例如 chrom.history)。

作者为浏览器扩展开发了一个污点分析框架Mystique,并用它来对浏览器Chrome扩展的隐私泄露问题进行大规模(181,683个扩展)研究。

首先作者提出了一种污点分析的hybrid方法:因为扩展的源代码可在JavaScript引擎运行,作者使用从JavaScript源码的静态数据流和控制流分析中收集的信息来实现和增强传统的污点分析,即将动态污点跟踪和静态分析相结合。基于此,作者进一步修改Chromium浏览器以支持对扩展的污点跟踪。

研究结果显示浏览器扩展对用户隐私构成威胁,并需要采取对策来防止行为不当的扩展滥用权限。

Bamboozling Certificate Authorities With BGP

作者:Henry Birge-Lee, Yinxin Sun, Anne Edmundson, Jennifier Rexford, Prateek Mittal

单位:Princeton University

出处:USENIX Security 2018

原文:PDF

概述

在互联网中,计算机采用 HTTPS 通讯,通过 SSL/TLS 加密明文传输的信息以保证数据安全。比如在浏览 HTTPS 网页的过程中,客户端首先向服务端发起请求连接,服务端响应并回复自己的 SSL 证书。证书可以看作是一个网站的身份证,其中包含着服务端的公钥以及一些相关信息,以证明自己确实是被请求者。接着双方协商并生成通讯时使用的一次性对称加密密钥,这个过程客户端需要使用服务端所提供的公钥来进行数据加密。
公钥基础设施 (Public key Infrastructure, PKI),是一套创造、管理、分配、使用、存储以及撤销 SSL 数字证书的网络基础架构。PKI 通过可信任的证书颁发机构 (Certificate Authority, CA) 来验证并向域名发放数字证书,以保证域名的真实所有者获得此域名对应的证书。
figure1

但在实际情况中,CA 验证并颁发证书的过程往往也可受到中间人 (MITM) 攻击,从而使得 HTTPS 的通信安全受到威胁。在此论文中,作者通过控制自治系统 (Autonomous System, AS) 来进行边界网关协议 (Border Gateway Protocol, BGP) 劫持攻击,绕过 CA 对申请域名所属权的验证,从而获得了不属于自己的域名的证书。此研究第一次演示了这种攻击在真实场景中的有效性,实验证明,这种攻击方法对目前主流的所有 CA 机构均有效。

IMIX: In-Process Memory Isolation EXtension

作者:Tommaso Frassetto, Patrick Jauernig, Christopher Liebchen, Ahmad-Reza Sadeghi

单位:Technische Universität Darmstadt, Germany

出处:USENIX Security 2018

资料:Paper | Slide


1. Abstract & Introduction

现在,研究者们已经提出了很多复杂的攻击技术,例如(JIT/blink)ROP、Counterfeit object-oriented programming。这些技术都能够使得攻击者达到任意代码执行、数据攻击的目的。与此同时,研究者们也提出了很多针对代码重用攻击的的防御方案,例如Control-flow integrity(CFI),Code-pointer integrity(CPI)。但是这些防御方案都依赖着较强的Memory isolation的保证,例如CFI的Shadow stack,CPI的Safe-region,以及一些随机化的秘密,都是需要进行隔离,不能被攻击者随意读写。由此可见进程内的内存隔离的重要性。

另外,进程内的内存隔离和进程间的内存隔离的区别从下图可以看出:

本文中,作者为Intel的x86 CPU设计了一个轻量级扩展IMIX,IMIX可以做到进程内的内存隔离。作者采取的办法是扩展x86的指令集架构,增加一个新的内存访问的权限,用来标识内存页是否是安全敏感。这些内存页只能被新设计的指令来访问。与之前的工作不同的是,IMIX并不是一个完整的防御方案,而是作为Primitive来使用。

EviHunter: Identifying Digital Evidence in the Permanent Storage of Android Devices via Static Analysis

作者:Chris Chao-Chun Cheng, Chen Shi, Neil Zhenqiang Gong, Yong Guan

单位:Iowa State University, NIST Center of Excellence in Forensic Science – CSAFE

出处:CCS’18

资料:Paper, Slides, GitHub


ABSTRACT & INTRODUCTION

由于移动网络的发展,智能手机上的数字证据在犯罪调查中发挥着越来越重要的作用。数字证据可以存在于智能手机的内存和文件系统中。虽然内存取证方面有很大的进展,但在针对文件系统的取证仍然比较困难。大多数关于文件系统取证的现有研究依赖于手动分析或基于关键字的静态扫描。手动分析代价很高,而关键字匹配通常会错过不包含关键字的数据。在本文中,作者开发了一个名为EviHunter的工具,用于自动识别Android设备文件系统中的数字证据。

作者认为数据是由应用程序产生的,应用程序的代码包含有关应用程序可能写入文件系统的数据类型以及所写入数据的文件相关的信息。因此,EviHunter首先通过对大量应用程序的静态分析来预先计算App Evidence Database(AED)。 然后,EviHunter将Android文件系统上的存在的文件与AED进行匹配,以识别可存储证据数据的文件,所以构建AED是EviHunter的重点。

事实上,已经有大量的静态分析工具用于检测Android应用程序中从Sources到Sinks的敏感数据流。这些工具可以检测到App会收集GPS并将其保存到文件系统,但是它们并不关心GPS信息写入了哪个文件。作者认为,这些工具是出于安全和隐私检测的目的而设计的,在隐私泄漏方面写入敏感数据的文件的位置并不重要。所以EviHunter在几个方面扩展了Android现有的静态数据流分析能力。

SoK: Security Evaluation of Home-Based IoT Deployments

出处: S&P’19

作者: Omar Alrawi、Chaz Lever、Manos Antonakakis、Fabian Monrose†

单位: Georgia Institute of Technology

原文: https://www.computer.org/csdl/proceedings/sp/2019/6660/00/666000a208.pdf

介绍

智能家居在安全方面一直表现得不尽人意,究其原因,在于IoT系统相对于传统的嵌入式系统,还引入了智能终端和网络,这就导致了其本身暴露了更多的攻击面。本文通过总结大量论文来帮助研究人员和从业者更好的理解针对智能家居的攻击技术,缓解措施,以及利益相关者应该如何解决这些问题。最后作者利用这些方法评估了45款智能家居设备,并将实验数据公布在https://yourthings.info%E3%80%82

An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications

出处:USENIX Security 2018

作者:Xiaohan Zhang, Yuan Zhang, Min Yang, Xiaofeng Wang, Long Lu, Haixin Duan

单位:School of Computer Science, Fudan University, Shanghai Institute of Intelligent Electronics & Systems, Shanghai Institute for Advanced Communication and Data Science, Shanghai Key Laboratory of Data Science, Fudan University, Indiana University Bloomington , Northeastern University , Tsinghua University

原文链接:https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-zhang_0.pdf


文章概述

如今,移动App已经成为用户访问Web服务的主要方式。安卓和iOS都提供了丰富的操作Web资源的API,方便开发者在App内部集成Web服务。之前一些学者的工作已经指出了这些API存在的攻击面,也提出了一些防御的机制,但它们都没有给出实际场景下的攻击案例,也没能评估这类攻击所能造成的影响,而这正是这篇文章关注的重点。文章中,作者定义了Web资源的cross-principal manipulation(XPM)问题,实现了XPMChecker这一自动化分析工具,并使用它对Google Play上80694个App进行分析,发现49.2%的Web资源操作都属于XPM,4.8%的App中存在XPM行为,并且超过70%的XPM行为都是针对一些著名的站点。此外,作者还发现有21个App存在明显的恶意行为,如窃取、滥用用户的Cookies、收集用户登录凭证、伪装用户进行登录等。作者也确认了类似的威胁在iOS App中也是存在的,而大多数的Web服务网站尚未意识到这种威胁的存在。

Understanding Cross App Remote Infections on Mobile Webviews

作者:Tongxin Li, Xinhui Han, Xueqiang Wang, Mingming Zha, Kai Chen, XiaoFeng Wang, Luyi Xing, Nan Zhang, Xiaolong Bai

单位:Peking University, Indiana University Bloomington, Institute of Information Engineering, Chinese Academy of Sciences, Indiana University Bloomington, Tsinghua University

出处:CCS 2017

论文:https://www.informatics.indiana.edu/xw7/papers/p829-li.pdf


摘要

跨应用的URL调用在提升用户体验的同时,引入了一定安全隐患,使得远程攻击者可以通过恶意网页窃取应用的控制权,这种威胁被称为XAWI(Cross-App WebView Infection)。它使得一种全新的多应用串通攻击成为可能,这样攻击者可以利用多个被感染的应用逐步提高自己在此移动设备的权限,或进行钓鱼攻击。

检验发现Google Play最流行的应用中7.4%的都可能遭受XAWI攻击,包括Facebook、Twitter、Amazon。论文指出了跨应用沟通这一提高用户舒适度的需求与对通道进行安全控制之间的矛盾,为了减轻安全威胁提出了一种系统层面的保护方法。

Securify: Practical Security Analysis of Smart Contracts

作者:Petar Tsankov, Andrei Dan,Dana Drachsler-Cohen,Arthur Gervais,Florian Bünzli,Martin Vechev

单位:ETH Zurich,Imperial College London

出处:CCS ‘18

原文:https://dl.acm.org/citation.cfm?id=3243780

INTRODUCTION

以太坊是仅次于比特币的第二大电子加密货币,其允许非信任的双方在没有可信的第三方情况下进行交易,交易能通过执行一段代码实现(即智能合约)。然而以太坊安全问题频发,开发者编写的智能合约存在很多漏洞,作者针对这个问题开发了Securify这个工具。

The Cryptopals Crypto Challenges 解题报告(1)

作者:上海交通大学蜚语安全(G.O.S.S.I.P)研究小组实习生张一苇

链接:https://cryptopals.com/

参考:https://github.com/ickerwx/cryptopals

下载:PDF

the cryptopals crypto challenges 中包含8组练习,共48个挑战。我们可以通过完成挑战,来学习密码学的相关知识。

这些挑战源于现实世界系统和加密结构的弱点,通过挑战中提供的足够的信息,我们可以了解基础密码学概念,以及常见的密码误用和密码算法的弱点。当完成这些挑战后,我们不仅可以了解密码系统的构建方式,还可以了解它们是如何受到攻击的。