IEEE的安全與隱私研討會（Symposium on Security and Privacy ）是電腦安全領域的老牌會議，到2019年已經是第40届了。它與CCS、Usenix Security和NDSS並稱為安全四大會。S&P的投稿風格已經更改為每個月審稿一次，一年舉辦的會議有12次的投稿機會。囙此明年5月23日在美國舊金山舉辦的會議，現在已經陸陸續續有一些結果了。本文將對S&P19的部分議題進行解讀。

Why Does Your Data Leak？Uncovering the Data Leakage in Cloud from Mobile Apps  

 問題：現有的許多IoT系統都會利用雲端來做資料存儲，資料分析，事件通知和監測。但是作者發現，有許多敏感的數據都從雲端洩露出來了從用戶的標識資訊到商業機密。囙此，尋找造成這些問題的原因並且做出應對措施是非常重要的。 

貢獻：本文發現，造成雲端數據洩露的原因並不是因為很深刻的系統漏洞，而且一些基本的安全措施的缺乏，比如，缺少認證的步驟、或者在認證的過程中錯誤的使用了用戶的秘鑰和管理員的秘鑰，或者錯誤的配寘了用戶的許可權。作者囙此提出了一系列的程式自動化分析的工具LeakScope，來分析使用了雲端API的手機應用程序中潜在的數據洩露問題。

比如，上述中的Account Key給予了用戶完全的任意的資源的存取權限，而SAS能够限制用戶的訪問資源，而在實際的Azure存儲訪問的應用中，可以發現程式師直接使用了Account Key進行訪問驗證。攻擊者只需要逆向APK就能够獲得Account Key，從而訪問任意資源：

而在許可權訪問規則的設定檔中，也出現了許多低級的錯誤，比如：

上述操作才能够正確的限制用戶對於某些資源的讀/寫許可權的設定。比如，僅僅允許uid等於認證的uid時，才能够執行資源讀寫操作，然而在實際的設定檔中，程式師往往跳過了驗證，比如： 

效果：作者從Google play的160萬APP中發現有15，098個應用存在數據洩露的問題。這些應用都是用了主流廠商的雲端服務，比如亞馬孫，Google和微軟。

其他：程式碼開源：https://github.com/OSUSecLab/LeakScope 

Breaking LTE on Layer Two  

問題：LTE系統在日常生活中被廣泛使用。特別是在總理提出减免流量費用之後，使用LTE的4G流量更加優惠，人們越來越來依賴於使用LTE來上網衝浪。囙此，研究LTE系統的安全性是非常重要的。

現狀：已有工作主要集中在研究LTE系統的網路層（layer 3）和實體層（layer 1）的安全性，缺少對layer 2的安全性研究。在網路層，攻擊者主要通過拒絕服務的管道將用戶使用的LTE網絡强行降級到不安全的GSM網絡，從而完成後續攻擊；在實體層，攻擊者主要對用戶實时干擾攻擊（jamming），影響用戶的使用。然而，作者發現，在layer 2，攻擊者能够實施更加强有力的攻擊，比如DNS欺騙攻擊。

 貢獻：作者對LTE的layer 2進行了詳細的安全性分析。作者發現LTE的layer 2的控制平面存在資訊洩露的可能，且評估了在數據平面缺少數據完整性校驗對於用戶安全性的影響。作者利用的幾點關鍵資訊有：

RNTI作為識別不同的UE的指紋資訊。LTE的MAC層，當UE想要向基站發送數據的時候，需要隨機訪問並且獲取資源訪問的唯一憑據RNTI，該憑據能够唯一的表示某個UE之後的一切通信行為，且未被加密。需要注意的是，LTE在PDCP及其以上的網路層才對數据包進行了加密，而RLC和MAC層是沒有加密的。

DCI資訊作為用戶訪問網站的指紋資訊。當UE向基站申請完資源後，基站會發送下行控制資訊（DCI）來指定UE使用那些通道資源、編碼方式來傳輸數據，該數據可能被用來識別用戶訪問網站的指紋。

PDCP（數据包融合）層的旁路資訊作為訪問網站的指紋資訊。PDCP的數据包雖然被加密了，但是PDCP長度等旁路資訊仍然有可能被利用作為網站指紋資訊。

尋呼消息作為識別UE的指紋資訊。正如打電話一般，基站會主動向範圍內的所有UE發送呼叫指令，指令中包含了需要響應呼叫的UE的id，即TemporaryMobile Subscriber Identity（TMSI），它也能够作為識別不同UE的指紋資訊。

存在篡改可能的加密演算法AES-CTR。LTE使用AES-CTR加密數據，同時使用CBC-MAC來校驗數據的完整性，然而這兩種算灋都存在一定程度的漏洞，使得攻擊者可以篡改數據。

效果：作者基於軟件定義的無線電做的實驗。實驗結果表明，作者的攻擊方法能够以94.73%的精度識別出不同的用戶。作者最後還實現了理論的攻擊驗證，對於真實的使用LTE網絡的手機，作者成功的劫持了用戶手機的LTE網絡，並且重定向了手機訪問的網址到惡意的網址。當攻擊者離用戶越近時，攻擊效果越好。

其他：提供了攻擊的demo，https://alter-attack.net/

Dangerous Skills: Understanding and Mitigating Security Risks of Voice-Controlled Third-Party Functions on VirtualPersonal Assistant Systems  

 問題：智能家居中，基於語音控制的VPA（虛擬個人助理，Virtual personal assistants）非常受到歡迎。人們甚至會利用VPA進行網絡購物、轉帳等行為。囙此，研究VPA的安全性非常重要。 

現狀：已有工作已經證明了，通過聲音偽造、聲音學習或者超聲波的管道，可以模仿用戶的聲音完成VPA的命令以及控制，進而進行非法操作。然而，這篇論文發現了VPA系統中的新的漏洞問題：VPA可能並不會按照用戶的意願執行給定的指令。

隨著VPA系統的成熟，它們已經可以形成生態，用戶可以在VPA的應用市場中下載豐富的應用了。攻擊者可以編寫帶有惡意功能的VPA應用，使得讀取的語音指令“聽起來”是合法的，實際卻在執行非法的行為。比如，用戶如果命令VPA:”alex，open Capital One please”以打開CapitalOne。但是惡意的VPA應用會讀取”Capital Oneplease”從而觸發惡意的行為。除了選取用戶語音習慣來觸發惡意行為，還可以選取某些混淆的發音來觸發，比如惡意的VPA應用還可以讀取”capital won”來執行惡意行為。囙此，問題在於，VPA系統實際上並沒有檢測VPA應用的安全性，而用戶又認為自己發出的指令是正常且合法的，並沒有命令VPA系統執行奇怪的行為。

貢獻：作者成功驗證了兩種攻擊。voice squatting attack（VSA）攻擊和voicemasquerading attack（VMA）攻擊。其中VSA攻擊即為利用用戶指令觸發惡意行為。而VMA攻擊為偽造用戶的語音來惡意控制VPA系統。後者的攻擊手段主要利用了VPA系統對於用戶語音的認證存在漏洞，從而在平時學習用戶的語音數據，從而完成用戶語音特點的學習，完成對VPA系統的攻擊。最後，作者還提出了一些緩解措施。例如將VPA應用讀取的指令內容與其實際執行的功能相對比，從而發現“名不副實”的惡意VPA應用（類似於早年檢測Android應用中，應用功能和所申請許可權不相符的思路）。作者的實驗發現，在亞馬遜的19670個應用中，有4718個應用存在VSA攻擊的潜在可能。為了防止VMA攻擊，作者建議引入系統來檢測語音的輸入源是否來自真正的用戶，還是來自機器構造的語音數據。

效果：作者開發了四種惡意應用來攻擊亞馬遜的VPA應用市場上的流行應用“Sleep and Relaxation Sounds”。實驗效果表明，共有2699名用戶在一個月內下載和觸發作者開發的惡意應用，並且總共收集了21308條語音數據。作者盡可能的避免記錄了用戶的隱私語音數據。但是這些實驗結果已經充分驗證了該攻擊的有效性。

其他：作者在2018年2月已經向亞馬遜和穀歌提交了漏洞報告，並且與相關的開發人員商討了緩解措施。很多媒體也報導了該攻擊的對於亞馬遜和穀歌的VPA系統的影響，提醒廣大用戶注意隱私安全問題。

https://www.bleepingcomputer.com/news/security/voice-squatting-attacks-impact-amazon-alexa-and-google-home-assistants/

本文由個人總結與整理，難免存在理解偏差。感興趣的同學，可以自行下載論文研讀。