SlideShare a Scribd company logo

Presentazione Extended Summary of "Sok:The Evolution of Trusted UI on mobile".pptx

Download as PPTX, PDF
S
Simone Cossaro

Presentazione per la prelaurea

Engineering
1 of 10
Extended Summary of «Sok: The Evolution of Trusted UI on Mobile» Laureando Cossaro Simone Relatore Chiar.mo Prof. Eric Medvet Anno Accademico 2021-2022 Davide Bove IT Security Infrastructures Lab, FAU Erlangen-Nürnberg, Germany Dipartimento di Ingegneria e Architettura
PROBLEMA Schermata autentica o manipolata ? Un’interfaccia utente affidabile al momento NON è universalmente implementata nei dispositivi mobili di consumo
PERICOLI FURTO DATI PAGAMENTI ONLINE ATTIVAZIONE SERVIZI VIOLAZIONE PRIVACY
BACKGROUND SISTEMA OPERATIVO ANDROID  Basato sul kernel Linux  Android Application Sandbox → ogni app eseguita nel proprio spazio  TEE → ambienti isolati affidabili per elaborazione dati  ARM TrustZone → due domini: Normal World e Secure World
DIFETTI DI PROGETTAZIONE  Il sistema operativo non offre identificazione dei contenuti dello schermo  Manca indicatore sull’origine dell’app  Conseguenze : un’app maliziosa può impersonare un’app legittima 1 - INDICATORI MANCANTI
 Sono finestre che si sovrappongono ad altre finestre  Possono causare: CLICKJACKING → reindirizzamento di un click verso un oggetto diverso da quello atteso dall’utente CONTEXT HIDING → utilizzare overlay per nascondere contenuto dello schermo attorno a pulsanti 2 - OVERLAY DIFETTI DI PROGETTAZIONE
DIFETTI DI PROGETTAZIONE  Servizi per migliorare l’esperienza delle persone diversamente abili  Hanno accesso ad azioni privilegiate  Possono essere sfruttati per: • Abilitare servizi • Accedere a dati sensibili • Installare app aggiuntive 3 – SERVIZI DI ACCESSIBILITÀ
CONTROMISURE  Introduzione flag (FilterTouching, Obscured Flag, PartiallyObscured Flag)  Impedimento a coprire menù e barra di stato delle applicazioni  Suddivisione in classi di priorità  Scomparsa overlay durante i dialoghi critici  Notifiche al momento della loro creazione e attivazione Nei confronti degli overlay
CONTROMISURE  CLICKSHIELD per contrastare il clickjacking  ANDROID PROTECTED CONFIRMATION per ottenere una decisione dell'utente verificabile attraverso metodi crittografici  LED SICURI per informare l’utente che il contenuto dello schermo è affidabile
CONCLUSIONE  Considerazione degli utenti finali  Prediligere l’usabilità  Equilibrio tra sicurezza e funzionalità

Recommended

Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Simone Cossaro
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
Marco Scala
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
Paolo Passeri
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014
Claudio Vecna
 
festival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobilefestival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobile
festival ICT 2016
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
Carlo Daniele
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
Alfredo Morresi
 

Recommended

Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Extended Summary of "Sok: The Evolution of Trusted UI on Mobile"
Simone Cossaro
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
Marco Scala
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
Paolo Passeri
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014
Claudio Vecna
 
festival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobilefestival ICT 2013: Il rischio è mobile
festival ICT 2013: Il rischio è mobile
festival ICT 2016
 
Web 2.0
Web 2.0Web 2.0
Web 2.0
Carlo Daniele
 
Mobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimentoMobile security & privacy - Paranoia in movimento
Mobile security & privacy - Paranoia in movimento
Alfredo Morresi
 
Cheope
CheopeCheope
Cheope
Davide Farris
 
follow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Androidfollow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Android
QIRIS
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
Bbshield
BbshieldBbshield
Bbshield
Giorgio Fraiegari
 
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPSLezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
Gianluigi Cogo
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
SMAU
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Internet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiInternet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware Sociali
Leandro Agro'
 
L'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaL'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a porta
Microfocusitalia
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino Forestiero
Centro di competenza ICT-SUD
 
Micro Applicazioni Mobile
Micro Applicazioni MobileMicro Applicazioni Mobile
Micro Applicazioni Mobile
valentinavalentina
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
Sveva7
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Andrea Patron
 
Cloud storage sicurezza e affidabilita'
Cloud storage sicurezza e affidabilita'Cloud storage sicurezza e affidabilita'
Cloud storage sicurezza e affidabilita'
Denny Ruffato
 
Virus
VirusVirus
Virus
Salvatore Cianciabella
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
Gianni Amato
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
Descrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptxDescrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptx
tecongo2007
 
GIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoGIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA Roberto
Servizi a rete
 

More Related Content

Similar to Presentazione Extended Summary of "Sok:The Evolution of Trusted UI on mobile".pptx

follow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Androidfollow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Android
QIRIS
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Andrea Patron
 

Similar to Presentazione Extended Summary of "Sok:The Evolution of Trusted UI on mobile".pptx (20)

Cheope
CheopeCheope
Cheope
 
follow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Androidfollow-app BOOTCAMP 3: Android
follow-app BOOTCAMP 3: Android
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Bbshield
BbshieldBbshield
Bbshield
 
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPSLezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
Lezione 11 del 13 marzo 2012 - L'ECOSISTEMA DELLE APPS
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
 
Internet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware SocialiInternet degli Oggetti e Hardware Sociali
Internet degli Oggetti e Hardware Sociali
 
L'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a portaL'App store per applicazioni Enterprise: La mobilità porta a porta
L'App store per applicazioni Enterprise: La mobilità porta a porta
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino Forestiero
 
Micro Applicazioni Mobile
Micro Applicazioni MobileMicro Applicazioni Mobile
Micro Applicazioni Mobile
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
 
Cloud storage sicurezza e affidabilita'
Cloud storage sicurezza e affidabilita'Cloud storage sicurezza e affidabilita'
Cloud storage sicurezza e affidabilita'
 
Virus
VirusVirus
Virus
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 

Recently uploaded

Recently uploaded (9)

Descrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptxDescrizione della struttura architettonica Eretteo.pptx
Descrizione della struttura architettonica Eretteo.pptx
 
GIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA RobertoGIORNATA TECNICA 18/04 | DE ROSA Roberto
GIORNATA TECNICA 18/04 | DE ROSA Roberto
 
GIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO AntonioGIORNATA TECNICA 18/04 | DE LEO Antonio
GIORNATA TECNICA 18/04 | DE LEO Antonio
 
GIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI MassimoGIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
GIORNATA TECNICA 18/04 | SPIZZIRRI Massimo
 
GIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO RaffaeleGIORNATA TECNICA 18/04 | LITTERIO Raffaele
GIORNATA TECNICA 18/04 | LITTERIO Raffaele
 
Presentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptxPresentzione Matematica similitudini circonferenze e omotetie.pptx
Presentzione Matematica similitudini circonferenze e omotetie.pptx
 
GIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI AlessandroGIORNATA TECNICA 18/04 | BENANTI Alessandro
GIORNATA TECNICA 18/04 | BENANTI Alessandro
 
GIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA SimoneGIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
GIORNATA TECNICA DA AQP 18/04 | MOTTA Simone
 
GIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO SerenaGIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
GIORNATA TECNICA DA AQP 18/04 | ZONNO Serena
 

Presentazione Extended Summary of "Sok:The Evolution of Trusted UI on mobile".pptx

  • 1. Extended Summary of «Sok: The Evolution of Trusted UI on Mobile» Laureando Cossaro Simone Relatore Chiar.mo Prof. Eric Medvet Anno Accademico 2021-2022 Davide Bove IT Security Infrastructures Lab, FAU Erlangen-Nürnberg, Germany Dipartimento di Ingegneria e Architettura
  • 2. PROBLEMA Schermata autentica o manipolata ? Un’interfaccia utente affidabile al momento NON è universalmente implementata nei dispositivi mobili di consumo
  • 4. BACKGROUND SISTEMA OPERATIVO ANDROID  Basato sul kernel Linux  Android Application Sandbox → ogni app eseguita nel proprio spazio  TEE → ambienti isolati affidabili per elaborazione dati  ARM TrustZone → due domini: Normal World e Secure World
  • 5. DIFETTI DI PROGETTAZIONE  Il sistema operativo non offre identificazione dei contenuti dello schermo  Manca indicatore sull’origine dell’app  Conseguenze : un’app maliziosa può impersonare un’app legittima 1 - INDICATORI MANCANTI
  • 6.  Sono finestre che si sovrappongono ad altre finestre  Possono causare: CLICKJACKING → reindirizzamento di un click verso un oggetto diverso da quello atteso dall’utente CONTEXT HIDING → utilizzare overlay per nascondere contenuto dello schermo attorno a pulsanti 2 - OVERLAY DIFETTI DI PROGETTAZIONE
  • 7. DIFETTI DI PROGETTAZIONE  Servizi per migliorare l’esperienza delle persone diversamente abili  Hanno accesso ad azioni privilegiate  Possono essere sfruttati per: • Abilitare servizi • Accedere a dati sensibili • Installare app aggiuntive 3 – SERVIZI DI ACCESSIBILITÀ
  • 8. CONTROMISURE  Introduzione flag (FilterTouching, Obscured Flag, PartiallyObscured Flag)  Impedimento a coprire menù e barra di stato delle applicazioni  Suddivisione in classi di priorità  Scomparsa overlay durante i dialoghi critici  Notifiche al momento della loro creazione e attivazione Nei confronti degli overlay
  • 9. CONTROMISURE  CLICKSHIELD per contrastare il clickjacking  ANDROID PROTECTED CONFIRMATION per ottenere una decisione dell'utente verificabile attraverso metodi crittografici  LED SICURI per informare l’utente che il contenuto dello schermo è affidabile
  • 10. CONCLUSIONE  Considerazione degli utenti finali  Prediligere l’usabilità  Equilibrio tra sicurezza e funzionalità