题目:Mobile Platform and Application Security


时间:2014年5月13日10:00

地点:科技楼703(理学院学术报告厅)

报告人:周建英教授,新加坡资讯通信研究院通信安全部主任

承办单位:计算机学院



嘉宾介绍

周建英教授是国际知名的信息安全专家,博士毕业于英国伦敦大学信息安全专业,现担任新加坡资讯通信研究院信息通信安全部主任;主持和负责多项新加坡政府和企业的科研项目,研究经费额高达上百万美元;在国际学术期刊和会议上发表了200多篇学术论文,被引用次数超过1200次;担任150多个国际学术会议的主席/程序委员会委员,是国际顶级安全学术会议ACNS的发起人之一;目前担任《IEEE TRANSACTIONS  ON INFORMATION FORENSICS AND SECURITY》编委,日本九州大学和上海交通大学兼职教授。更多信息请参阅http://icsd.i2r.a-star.edu.sg/staff/jianying/


摘要

智能手机越来越流行,几乎成为人们生活的必备设备,Android/iO是两种最主要的智能手机操作系统。一个有趣的问题是,哪一个更安全呢。我们通过观测Android/iOS应用程序及其使用安全API (SS-API)的差异来对比它们的安全性。我们开发了静态分析工具,通过它对SS-API跨平台应用程序进行了大规模的静态分析。分析结果表明,相对于Android,iOS应用程序更倾向于使用SS-API,并更有可能访问敏感资源,进而可能导致侵犯隐私或安全隐患而不被发现。

我们还提出了一个通用的攻击方法,通过它以第三方应用程序对非越狱的iOS设备进行登录攻击,并构建了多重概念验证攻击,如破解设PIN码、在用户未意识到的情况下进行拍摄快照。我们开发的嵌入攻击代码的应用程序通过了苹果的审核流程并可工作在非越狱的iOS设备上。多重概念验证攻击表明,苹果公司的审查程序和iOS沙盒测试存在弱点,并且可被第三方应用程序所利用。我们的工作将帮助苹果公司在最新版本iOS 7中修复此漏洞。