近日,网络空间安全学院软件与系统安全团队的两篇研究论文被系统安全顶级国际学术会议usenix security 2023录用。
录用的第一篇论文题目为“lost in conversion: exploit data structure conversion with attribute loss to break android systems”。网络空间安全学院2019级博士生李蕊为论文第一作者,刁文瑞教授为论文通讯作者。学院郭山清教授、阿里巴巴集团刘翔宇博士、香港中文大学张克环教授参与了本项研究。山东大学为论文的第一作者单位和唯一通讯作者单位。android是目前最为流行的移动操作系统,android app与人们的生活息息相关。manifest文件是android app的核心配置文件,描述了app所需的权限、设置的组件等必要信息,与android的权限管理、组件通信等核心机制关联密切。本项研究系统化地分析了android manifest文件的解析流程,创新性地发现了一类新型安全缺陷 — evil twins缺陷。该缺陷的本质原因是:由于manifest解析流程欠缺考虑,导致数据结构转换中存在属性丢失,进而造成系统配置的不一致。利用该缺陷,攻击者可以通过精心构造的manifest文件来实施恶意行为,如实现权限提升,窃取用户隐私等。
为了检测与evil twins相关的系统漏洞,本项研究设计并实现了一个针对android os源码的数据流分析工具 — twindroid。实际测试中识别出了4个可导致权限提升或阻止权限撤销的evil twins漏洞,并得到了google的官方确认与致谢,其中3个已分配了相应的cve编号:cve-2021-39695、cve-2022-20392、cve-2023-20971。所发现的cve应用于华为、荣耀、三星、真我、lg等知名手机厂商的安全更新中,影响机型超过270个。本项工作也针对evil twins缺陷提出了相应的防御措施。
录用的第二篇论文题目为“on the feasibility of malware unpacking via hardware-assisted loop profiling”。网络空间安全学院程斌林副教授为论文第一作者。杜兰大学(tulane university)的erika a leal和jiang ming、德州大学阿灵顿分校(the university of texas at arlington)的haotian zhang参与了本项研究。山东大学为论文第一作者单位。硬件性能计数器(hpcs)是内置于现代处理器的寄存器,可用于定位程序执行时的热点。加壳软件在还原原始代码时,具有显著的热点特征。该论文借助于硬件计数器定位还原后的原始代码,从而实现脱壳。该方法是一种硬件协助的脱壳方法。相对于软件级的脱壳方法,该方法具有更好的透明性,难以被加壳软件逃逸。
usenix security是系统安全领域四大顶级学术会议之一(其他三个是ieee s&p、ccs、ndss),也是中国计算机学会(ccf)推荐的网络与信息安全领域a类国际学术会议。网络空间安全学院软件与系统安全研究团队关注现实世界系统与设备的安全问题,研究方向包括移动安全、物联网安全、软件漏洞挖掘、人工智能安全、隐私增强技术等多个领域。团队近年在ieee s&p、usenix security、ccs、ndss、icse等软件与系统安全领域顶级/著名学术会议发表多篇研究论文。
微信公众号
