作者：Li Zhang¹, Jiongyi Chen², Wenrui Diao³, Shanqing Guo³, Jian Weng¹, Kehuan Zhang²

单位：¹Jinan University, ²The Chinese University of Hong Kong, ³School of Cyber Science and Technology, Shandong University

出处：RAID’19(International Symposium on Research in Attacks, Intrusions and Defenses)

原文：https://www.usenix.org/system/files/raid2019-zhang-li.pdf

Abstract

密码学函数在安全通信和数据存储中具有重要的地位。大多数密码学函数的定义和实现都是安全的，但可能会被开发人员错误的封装或者使用。在IoT设备中这个问题更加广泛，由于IoT设备资源受限，开发人员往往会在安全和性能之间折衷，有意或者无意的造成密码学误用。

在这篇文章中，作者设计了一个密码学误用分析框架，可以对IoT设备固件进行密码学误用识别。框架会将不同架构的二进制代码转化为通用的中间表示并进行静态污点分析。对于自定义的密码学函数，框架会在污点分析的过程中动态识别和更新函数列表并追踪函数参数。

作者实现了框架原型CRYPTOREX，并对不同厂商不同架构的521个IoT固件镜像进行了实验测试。实验的结果中CRYPTOREX成功的发现了679个密码学误用，平均每个固件的分析时间为1120秒。

作者: Daiki Chiba, Ayako Akiyama Hasegawa, Takashi Koide, Yuta Sawabe, Shigeki Goto, Mitsuaki Akiyama

单位: NTT Secure Platform Laboratories, Tokyo, Japan; Waseda University, Tokyo, Japan

会议: RAID 2019

资料: Paper

1 Introduction

​ 作者首先介绍了国际化域名IDNs的概念，相较于传统使用英文作为域名的情况，国际化域名指全部或部分使用特殊的文字或字母组成的互联网域名，如使用阿拉伯语、中文、斯拉夫语、泰米尔语等。但是目前，因为操作系统的核心都是由英文组成，DNS服务器的解析也是由英文代码交换，所以DNS服务器上并不支持直接的其他语言的域名解析，所有中文域名的解析都需要先转成punycode码。如我国政府网站http://中国政府.政务/（http://xn–fiqs8sirgfmh.xn–zfr164b/）。

​ 在这篇论文中，作者首先介绍了视觉失真的IDN（称为欺骗性IDN）系统化，使读者了解与之相关的风险。在系统化的基础上，作者提出了一个DOMAINSCOUTER系统，用于检测欺骗性IDN并计算其分数。

​ 最后，作者使用了DOMAINSCOUTER对欺骗性IDN进行了测试。

作者：Jiongyi Chen, Chaoshun Zuo, Wenrui Diao, Shuaike Dong, Qingchuan Zhao, Menghan Sun, Zhiqiang Lin, Yinqian Zhang, and Kehuan Zhang

单位：The Chinese University of Hong Kong, The Ohio State University, Shangdong University, Jinan University

会议：DSN’19

链接：http://web.cse.ohio-state.edu/~lin.3021/file/DSN19.pdf

物联网云架构包含三个部分：物联网设备，用户，云。

在一个用户可以远程访问他的设备之前，他们之间的通信通过云来引导。

在这篇文章中，作者系统的分析了IoT远程绑定过程，评估了十种真实的远程绑定方案，发现了一些在认证授权机制设计过程中产生的问题，包括不正确的device ID 的使用、弱设备认证、弱云端访问控制，以及这些问题的影响，包括用户敏感数据泄漏、拒绝服务、连接中断，甚至设备控制。

作者：Wenrui Diao , Yue Zhang , Li Zhang , Zhou Li , Fenghao Xu , Xiaorui Pan k , Xiangyu Liu , Jian Weng , Kehuan Zhang , XiaoFeng Wang

单位：Shandong University，Jinan University, University of California, The Chinese University of Hong Kong, Indiana University Bloomington, Alibaba

会议：RAID2019

链接：pdf

Introduction

Accessibility API指的是帮助有困难的用户使用设备的API。现在的主流操作系统都提供了accessibility service，使用这个服务必须要申请BIND_ACCESSIBILITY_SERVICE权限，确保只有只有系统能绑定这个服务。

之前的研究局限于有BIND_ACCESSIBILITY_SEVICE权限的恶意应用可以进行的攻击，但是他们没有对Android accessibility framework的底层实现进行系统的研究。

这篇文章里作者会对Accessibility API的使用及其支持的architecture进行系统的评估。通过代码评估和大量的app的扫描，作者发现了大量的API被误用的情况。作者总结了Android accessibility API框架设计上的缺点。针对accessibility的设计作者提出了两种攻击方式：installation hijacking和notification phishing。作者也提出了相应的缓解方法。

作者：Yue Duan, Lian Gao, Jie Hu, Heng Yin

单位：Cornell University, University of California, Riverside

出处：RAID’19

原文：https://www.usenix.org/system/files/raid2019-duan.pdf

Abstract

Andrdoid App中普遍存在的第三方库（third-party library, TPL）很少能够得到App开发者的及时更新，过时第三方库中存在的未被修复的安全漏洞使得最终用户面临着极大的安全威胁。这一问题的原因在于，人工更新App中包含的第三方库对于App开发者来说是一件复杂且耗时的工作。

在这篇文章中，作者提出了一种为Android App中包含的第三方库自动化生成非侵入式更新（non-intrusive update）的技术。对于一个包含有过时第三方库的Android App，该技术自动化的更新此过时第三方库，并能够保证此更新是完全向后兼容，且不会影响此第三方库与其它组件的任何交互。

作者实现了一个名为LIBBANDAID的原型，并在9个流行第三方库的83个不同版本以及100个现实存在的开源App上评估了其有效性。实验结果表明，LIBBANDAID能够成功修复平均80.6%的安全漏洞，在进一步结合潜在可修复漏洞（potentially patchable vulnerability）的情况下，该工具能够成功修复平均94.07%的安全漏洞。

作者：Marc Schink, Johannes Obermaier

单位：Fraunhofer Institute AISEC

出处：WOOT 2019

资料：Paper

1. Abstract & Introduction

为了保护软件的知识产权，微控制器产商使用了XOM(eXecute-Only Memory)，来阻止未授权的第三方固件在开发时的泄露。XOM允许代码执行，但是不允许代码的读取。作者的安全分析表明，由于共享资源的存在（例如CPU和SRAM），这个技术是不足以保护固件的。作者设计了一个方法来自动恢复出被保护的固件。

作者所作出的贡献：

1. 分析XOM作为保护固件不被泄露的可行性
2. 发现了一些基于ARM Cortex-M的微控制器上XOM实现的瑕疵
3. 一个通用的自动恢复被保护固件的程序
4. 一套实用的评估不同产商的设备遭受固件恢复攻击的方法

作者：Shuaike Dong, Menghao Li, Wenrui Diao, Xiangyu Liu, Jian Wei Liu, Zhou Li, Fenghao Xu, Kai Chen, Xiaofeng Wang, Kehuan Zhang

单位：The Chinese University of Hong Kong, Institute of Information Engineering, Jinan University, Alibaba, Indiana University Bloomington

出处：SecureComm 2018

论文：Paper

Abstract

在Android程序中，由于Java程序具有易于逆向的特性，所以其代码保护尤为重要。代码混淆技术被常规的应用程序开发人员和恶意软件作者广泛使用，为逆向分析增加了许多难度。尽管在混淆技术上已经有很多研究，但是对现实世界开发人员如何使用混淆技术的了解仍然有限。在本文中，作者通过大规模的野外调查来展现真实世界中Android混淆技术的使用情况。在文中作者重点关注4种流行的混淆方法：标识符重命名，字符串加密，Java反射和加壳。作者的APK数据集来自于Google Play，多个第三方市场和恶意软件数据库中。作者发现恶意软件作者更频繁地使用字符串加密，而加壳技术的应用在第三方市场中比Google Play更普遍。

作者：Jie Huang, Nataniel Borges, Sven Bugiel, Michael Backes

单位：CISPA Helmholtz Center for Information Security

出处：EuroS&P’19

原文：https://dl.acm.org/citation.cfm?id=3274753

Abstract

Wi-Fi通话，也就是通过Wi-Fi提供的网络进行电话通信，目前已经得到了广泛的部署。然而由于Wi-Fi的固有性质，它的安全性很有可能比传统的LTE通话方式要弱。它使用了IETF所提供的IKEv2以及IPSec协议来保证通信过程的数据的可信与完整性。

在本篇文章中，作者首次对Wi-Fi电话的安全性进行了详细的分析。研究人员发现Wi-Fi电话协议中的漏洞可能导致用户信息泄露以及Dos攻击。通过搭建一个的伪造AP，攻击者可以获取手机与基站握手过程中泄露的IMSI (International Moblie Subsriber Identity)，尽管这种信息已经经过了加密。

作者：René Mayrhofer, Jeffrey Vander Stoep, Chad Brubaker, Nick Kralevich

单位：Google

出处：arXiv

原文：https://arxiv.org/pdf/1904.05572.pdf

文章概述

安卓已经成为终端用户使用最多的系统之一，提供通信、娱乐、金融、健康等服务。其底层的安全模型需要为用户解决大量在复杂的使用场景中产生的安全威胁，同时取得安全、隐私与可用性之间的平衡。尽管安卓整体系统架构、访问控制机制等的底层设计原则都能在一些公开的资料中找到，但安卓的安全模型一直没有正式发表出来。所以在这篇文章中，作者对安卓安全模型进行抽象，并基于对威胁模型、安卓生态环境的定义来分析安卓的安全实现是如何缓解这些具体威胁的。

作者：Jie Huang, Nataniel Borges, Sven Bugiel, Michael Backes

单位：CISPA Helmholtz Center for Information Security

出处：EuroS&P’19

原文：https://publications.cispa.saarland/2885/1/up2crash-euros%26p-cr.pdf

Abstract

存在漏洞和缺陷的第三方库不仅增大了App的受攻击面，同时也将用户的隐私暴露在风险之中。App开发人员必须将App中集成的第三方库保持更新至最新版本，以防范这样的风险。最新的研究表明，Android App中普遍存在有过时的第三方库，一种可行的解决方案是在不需要App开发人员帮助的前提下直接替换过时的第三方库至更高版本。但是，所有的这些结论都是基于静态App分析得到的，其只能提供一个粗略的估计。

文章通过分析App的运行时行为对第三方库的可更新性进行了重新评估。作者实现了一个直接替换第三方库至更高版本的更新方案，并对3,000个集成有流行第三方库（三个第三方库的78个版本）的真实App进行了动态测试，以验证此更新方案的可行性。文章还使用了探测增强的动态测试来监控15个App在第三方库更新前后的运行时行为，以深入研究第三方库的可更新性。测试结果表明，已有研究中提出的第三方库的可更新率在实际条件下被高估了1.57至2.06倍，而阻碍直接替换第三方库至更高版本的潜在问题也是错综复杂的，例如弃用的方法，改变的数据结构，以及第三方库之间纠缠的依赖关系。