Presentation is loading. Please wait.

Presentation is loading. Please wait.

移动系统的安全: 攻击和防御 杜文亮 教授 Dept. of Elec. Eng. & Comp. Sci.

Similar presentations


Presentation on theme: "移动系统的安全: 攻击和防御 杜文亮 教授 Dept. of Elec. Eng. & Comp. Sci."— Presentation transcript:

1 移动系统的安全: 攻击和防御 杜文亮 教授 Dept. of Elec. Eng. & Comp. Sci.
Syracuse University (雪城大学)

2 Overview 从系统角度研究移动安全(Android) 计算机安全教育的研究 Google Research Award 2012
2个NSF grants (100万美金): 计算机安全教育的研究 3个NSF grants (150万美金):

3 从系统角度研究移动安全 对Android系统的各个Component的设计进行深入的研究,寻找可能的攻击和Fundamental问题。
WebView 和 基于HTML5的app (例如PhoneGap apps) Intent (app之间的通信机制) 对Android系统Access Control的设计上进行改进和创新。

4 WebView 简介 Application Java code JavaScript code WebView

5 Trusted Computing Base (TCB)
Two assumptions underlying Browser Security Trust on browser: Users must trust the browser they use Browser’s sandbox: protect the user’s computer from untrusted contents inside the browser WebView的设计打破了这两个假设,一定有后果。

6 基于 HTML5 的 app 系统资源 HTML5 Page PhoneGap Framework HTML5 CSS JavaScript
Your code Library 系统资源 HTML5 Page HTML5 CSS JavaScript PhoneGap Framework Written in native language (e.g. Java, Object C, etc.) WebView

7 扫还是不扫? 用 Native app? 用 HTML5-based app (例如PhoneGap apps)

8 攻击原理 WebView Display APIs (e.g html()) Render JavaScript Engine Engine
Payload Display APIs (e.g html()) Render Engine JavaScript Engine

9 针对HTML5-based Apps的攻击

10 Access Control in Android
安装 运行 只能使用 A B C 申明需要 A B C 用户 研究方向 研究方向

11 改变权限 应用程序 权限 App 开发的代码 第三方 Library 代码 (例如 Facebook APIs) 广告代码
INTERNET, CAMERA, GPS, SMS App 开发的代码 第三方 Library 代码 (例如 Facebook APIs) INTERNET, GPS 广告代码 INTERNET

12 改变结果 GPS 都需要GPS权限 Generalization 准确:39.980594, 116.335784
应用程序 准确: , GPS 扩大范围:39.90, 都需要GPS权限 应用程序 随机:10.90, Generalization 应用程序

13 Location

14 改变程序 应用程序 安装 程序改写 (code rewriting) 运行

15 I hear and I forget. I see and I remember. I do and I understand.
计算机安全教育 I hear and I forget. I see and I remember. I do and I understand.

16 SEED Labs: 30 个动手试验 $0: 试验环境(open-source),教材(free) 12 年:2002 开始
150 万美金:美国自然科学基金会 30个国家 250 所高校 (中国只有7所) 200 页的试验教材,350 页的教师手册

17 SEED Labs 的使用

18 举办Workshops 目的:对高校教计算机安全的老师进行免费集中陪训,以提高学生的Learning。 美国 ($820,000, NSF)
印度 (正在准备) 中国 (寻找合作伙伴)

19 Questions ? Contact:


Download ppt "移动系统的安全: 攻击和防御 杜文亮 教授 Dept. of Elec. Eng. & Comp. Sci."

Similar presentations


Ads by Google