浅析移动浏览器中UI漏洞的演变

Hindsight: Understanding the Evolution of UI Vulnerabilities in Mobile Browsers

作者:刘保证(清华大学)

本文发表于 NDSS 2018,原文作者:Meng Luo, Oleksii Starov, Nima Honarmand, Nick Nikiforakis

摘要

大部分移动安全研究都专注于恶意应用,但对广泛被使用的浏览器的安全研究却很少,而移动端的浏览器和桌面端的浏览器一样容易受到攻击。论文作者表示这篇文章则是首次从事移动端浏览器的安全研究,专注于手机浏览器的 UI 漏洞。论文作者根据前人的工作以及自己的调查,量化了 27 个 UI 相关的攻击,针对于超过 128 个浏览器家族以及 2324 个独立的浏览器版本(跨度超过 5 年)进行了浏览器 UI 的安全性研究,基本的步骤如下:

  • 从不同的源中收集了不同时期的浏览器样本。
  • 设计并实现了与浏览器无关的测试框架, Hindsight,自动化测试浏览器 UI 的漏洞。

Continue reading

采用差分分析技术测量和干扰 Anti-adblockers

Measuring and Disrupting Anti-Adblockers Using Differential Execution Analysis

作者:张凯(清华大学)

本文发表于 NDSS 2018,原文作者:Shitong Zhu , Xunchao Hu , Zhiyun Qian, Zubair Shafiq and Heng Yin

摘要

全球数百万人使用广告拦截器删除恶意广告,并防止因为广告追踪造成个人隐私泄露。而对于大多数提供免费在线内容和服务的网站来说广告收入是主要收入来源,故把广告拦截器看做主要威胁,他们部署anti-adblockers来检测和阻止adblockers。针对这种情况,广告拦截器反过来检测和过滤反广告拦截的脚本。广告拦截和反广告拦截之间的军备竞赛在反复进行。

Continue reading

Skyfire: 一种用于Fuzzing的数据驱动的种子生成工具

Skyfire: Data-Driven Seed Generation for Fuzzing

作者:杨鑫 (清华大学)

论文发表于 IEEE S&P 2017,原文作者:Junjie Wang, Bihuan Chen, Lei Wei, and Yang Liu

摘要

对于输入格式是高度结构化文件的程序来说,其处理流程一般是:语法解析–语义检查–程序执行。程序深层次的漏洞一般隐藏在程序执行阶段,而对于自动化的模糊测试(Fuzzing)来说很难触发该类漏洞。

Continue reading

DEADLINE:一个对内核中double-fetch错误进行精确检测的工具

Precise and Scalable Detection of Double-Fetch Bugs in OS Kernels

作者:倪远东 (清华大学)

论文发表于 IEEE S&P 2018,原文作者:Meng Xu, Chenxiong Qian, Kangjie Lu, Michael Backes, Taesoo Kim

摘要

操作系统的内核在系统调用的执行期间可能多次读取同一块用户空间的内存,若两次读取之间用户空间中的数据发生了变化,则可能导致double-fetch这种bug。之前的很多工作尝试通过静态或动态的方法来检测这种bug,然而由于对double-fetch定义不清晰,这些工作会导致大量的漏报和误报,还需要引入大量的人工分析。本文首先对double-fetch进行了正式和精确的定义,并设计了静态分析工具DEADLINE来自动化探测linux kernal中的double-fetch错误。工具发现了Linux系统中的23个新bug和freeBSD的1个新bug。

Continue reading

眼皮下的冒牌货:Combosquatting域名抢注的测量研究

Hiding in Plain Sight:  A longitudinal Study of Combosquatting Abuse

作者:陆超逸  (清华大学)

论文发表于CCS 2017,论文作者:Panagiotis Kintis, Najmeh Miramirkhani, Charles Lever, Yizheng Chen, Rosa Romero-Gómez, Nikolaos Pitropakis, Nick Nikiforakis, Manos Antonakakis

摘要

论文是一篇纯测量文章,主要关注了 Combosquatting 这种域名注册现象,并对它进行了第一次的系统性研究。Combosquatting 的特点是,通过向知名域名添加其他关键词的方式,构造并注册新的域名(例如alipay-login.com);这种域名可以用于钓鱼、恶意软件传播、APT攻击、品牌滥用等行为。作者通过测量发现,这样的域名规模非常庞大,达到百万量级,并且活跃时间非常长;案例分析表明,已经有一些这样的域名被用于恶意用途或攻击。

Continue reading

云环境下域名验证证书的安全风险及其对策

[论文总结] Cloud Strife: Mitigating the Security Risks of Domain-Validated Certificate

作者:郭润  (清华大学)

论文作者: Kevin Borgolte(UC Santa Barbara),Tobias Fiebig (TU Delft), Shuang Hao (UT Dallas)

摘要:因弹性资源分配(如存储、带宽和IP地址)等特点,Amazon Web Service (AWS) 和 Microsoft Azure等IaaS架构的云平台被普通使用。然而,本文发现,互联网中存在大量的 stale DNS 域名(如过去在云端部署服务,但目前停止了服务,该类 IP  地址已经被释放回云平台),但这些DNS记录仍然指向了云平台中的可分配IP地址。攻击者可以向云平台申请并分配到这些IP地址,从而获得该DNS域名的控制权(domain takeover)。因此,攻击者可以利用分配到的 IP 来通过互联网中的一些基于域名的验证系统,如基于域名验证的SSL证书颁发机制,甚至可以进行钓鱼、收发邮件或者通过该域名分发恶意代码等(当第三方从该域名下加载如JS脚本等代码时)。 Continue reading