兰登·考克斯(Landon P.Cox)、彼得·吉尔伯特(Peter Gilbert)、杰弗里·劳勒(Geoffrey Lawler)、瓦伦丁·手枪(Valentin Pistol)、阿里·拉泽恩(Ali Razeen)、毕武(Bi Wu)和赛·奇马拉帕蒂(Sai Cheema,杜克大学
本文介绍了SpanDex,它是Android的Dalvik虚拟机的一组扩展,可确保应用程序不会泄漏用户密码。SpanDex解决的主要技术挑战是精确、合理和高效地处理隐式信息流(例如,由程序控制流传输的信息)。SpanDex通过从符号执行中借用技术来处理隐式流,以精确量化进程的控制流所揭示的有关秘密的信息量。为了在运行时应用这些技术而不牺牲性能,SpanDex在对数据流敏感的沙盒中运行不受信任的代码,这限制了应用程序可以对敏感数据执行的混合操作。使用50个流行的Android应用程序对SpanDex原型进行的实验以及对大量泄漏密码列表的分析预测,对于90%的用户来说,攻击者需要80多次登录尝试才能猜出他们的密码。如今,同一攻击者只需对所有用户进行一次尝试。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频