Presentazione Extended Summary of "Sok:The Evolution of Trusted UI on mobile".pptx
1. Extended Summary of
«Sok: The Evolution of Trusted UI on Mobile»
Laureando
Cossaro Simone
Relatore
Chiar.mo Prof. Eric Medvet
Anno Accademico 2021-2022
Davide Bove
IT Security Infrastructures Lab, FAU Erlangen-Nürnberg, Germany
Dipartimento di Ingegneria e Architettura
2. PROBLEMA
Schermata autentica o manipolata ?
Un’interfaccia utente affidabile al momento
NON è universalmente implementata nei
dispositivi mobili di consumo
4. BACKGROUND
SISTEMA OPERATIVO ANDROID
Basato sul kernel Linux
Android Application Sandbox
→ ogni app eseguita nel proprio spazio
TEE → ambienti isolati affidabili per
elaborazione dati
ARM TrustZone → due domini:
Normal World e Secure World
5. DIFETTI DI PROGETTAZIONE
Il sistema operativo non offre identificazione dei contenuti
dello schermo
Manca indicatore sull’origine dell’app
Conseguenze : un’app maliziosa può impersonare un’app
legittima
1 - INDICATORI MANCANTI
6. Sono finestre che si sovrappongono ad altre
finestre
Possono causare:
CLICKJACKING → reindirizzamento di
un click verso un oggetto diverso da
quello atteso dall’utente
CONTEXT HIDING → utilizzare overlay
per nascondere contenuto dello schermo
attorno a pulsanti
2 - OVERLAY
DIFETTI DI PROGETTAZIONE
7. DIFETTI DI PROGETTAZIONE
Servizi per migliorare l’esperienza delle persone diversamente
abili
Hanno accesso ad azioni privilegiate
Possono essere sfruttati per:
• Abilitare servizi
• Accedere a dati sensibili
• Installare app aggiuntive
3 – SERVIZI DI ACCESSIBILITÀ
8. CONTROMISURE
Introduzione flag (FilterTouching, Obscured Flag, PartiallyObscured Flag)
Impedimento a coprire menù e barra di stato delle applicazioni
Suddivisione in classi di priorità
Scomparsa overlay durante i dialoghi critici
Notifiche al momento della loro creazione e attivazione
Nei confronti degli overlay
9. CONTROMISURE
CLICKSHIELD per contrastare il clickjacking
ANDROID PROTECTED CONFIRMATION per
ottenere una decisione dell'utente verificabile
attraverso metodi crittografici
LED SICURI per informare l’utente che il contenuto
dello schermo è affidabile