論文の概要: Injection Attacks Against End-to-End Encrypted Applications

• arxiv url: http://arxiv.org/abs/2411.09228v1
• Date: Thu, 14 Nov 2024 06:53:00 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-15 15:23:13.665063
• Title: Injection Attacks Against End-to-End Encrypted Applications
• Title（参考訳）: エンドツーエンド暗号化アプリケーションに対するインジェクション攻撃
• Authors: Andrés Fábrega, Carolina Ortega Pérez, Armin Namavari, Ben Nassi, Rachit Agarwal, Thomas Ristenpart,
• Abstract要約: エンド・ツー・エンド(E2E)暗号化アプリケーションに対する新たな脅威モデルについて検討する。 相手は選択したメッセージをターゲットクライアントに送信し、それによって相手のコンテンツをアプリケーション状態に"注入"する。 クラウドに格納された暗号文の長さを観察することで、攻撃者は機密情報をバックアップする。
• 参考スコア（独自算出の注目度）: 15.213316952755353
• License:
• Abstract: We explore an emerging threat model for end-to-end (E2E) encrypted applications: an adversary sends chosen messages to a target client, thereby "injecting" adversarial content into the application state. Such state is subsequently encrypted and synchronized to an adversarially-visible storage. By observing the lengths of the resulting cloud-stored ciphertexts, the attacker backs out confidential information. We investigate this injection threat model in the context of state-of-the-art encrypted messaging applications that support E2E encrypted backups. We show proof-of-concept attacks that can recover information about E2E encrypted messages or attachments sent via WhatsApp, assuming the ability to compromise the target user's Google or Apple account (which gives access to encrypted backups). We also show weaknesses in Signal's encrypted backup design that would allow injection attacks to infer metadata including a target user's number of contacts and conversations, should the adversary somehow obtain access to the user's encrypted Signal backup. While we do not believe our results should be of immediate concern for users of these messaging applications, our results do suggest that more work is needed to build tools that enjoy strong E2E security guarantees.
• Abstract（参考訳）: 本稿では,エンド・ツー・エンド(E2E)暗号化アプリケーションに対する新たな脅威モデルについて検討する。 この状態はその後暗号化され、逆視可能なストレージに同期される。 クラウドに格納された暗号文の長さを観察することで、攻撃者は機密情報をバックアップする。 本稿では、E2E暗号化バックアップをサポートする最先端の暗号化メッセージングアプリケーションにおいて、このインジェクション脅威モデルについて検討する。 E2E暗号化メッセージやWhatsApp経由で送信されたアタッチメントに関する情報を復元し、ターゲットユーザのGoogleやAppleアカウント(暗号化バックアップへのアクセスを可能にする)を侵害する可能性を前提として、概念実証攻撃を示す。 また、ターゲットユーザーの連絡先数や会話数を含むメタデータをインジェクション攻撃で推測できるSignalの暗号化バックアップ設計の弱点も示しています。 私たちの結果は、これらのメッセージングアプリケーションのユーザにとって直接的な懸念であるべきだとは思っていませんが、私たちの結果は、強力なE2Eセキュリティ保証を享受するツールを構築するために、より多くの作業が必要であることを示唆しています。

関連論文リスト

• Privacy-preserving server-supported decryption [2.2530496464901106]
  2段階のしきい値復号化を伴う暗号システムについて検討し,一方の当事者が復号化を開始し,他方の当事者が支援を行う。 既存のしきい値復号化方式は、復号化中の暗号文をサーバに開示する。 我々は、暗号文のアイデンティティがサーバにリークされず、クライアントのプライバシが保存される構成を与える。
  論文  参考訳（メタデータ） (2024-10-25T06:47:53Z)
• Safeguard is a Double-edged Sword: Denial-of-service Attack on Large Language Models [7.013820690538764]
  大規模言語モデル(LLM)に対する新たなDoS攻撃を提案する。 ソフトウェアやフィッシング攻撃によって、攻撃者は短い、一見無害な敵のプロンプトを設定ファイルのユーザープロンプトに挿入する。 我々の攻撃は、Llama Guard 3の97%以上のユーザリクエストを普遍的にブロックする、約30文字の、一見安全な敵のプロンプトを自動的に生成できる。
  論文  参考訳（メタデータ） (2024-10-03T19:07:53Z)
• ARSecure: A Novel End-to-End Encryption Messaging System Using Augmented Reality [0.28087862620958753]
  拡張現実メガネを利用した新しいエンドツーエンド暗号化メッセージングソリューションであるARSecureを紹介する。 ARSecureでは、携帯電話端末に到達する前にメッセージを暗号化し、復号化することが可能で、E2EEシステムにおけるCSS技術に効果的に対抗できる。
  論文  参考訳（メタデータ） (2024-08-28T16:39:43Z)
• Exploiting Leakage in Password Managers via Injection Attacks [16.120271337898235]
  本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。 この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
  論文  参考訳（メタデータ） (2024-08-13T17:45:12Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• CodeChameleon: Personalized Encryption Framework for Jailbreaking Large Language Models [49.60006012946767]
  パーソナライズされた暗号化手法に基づく新しいジェイルブレイクフレームワークであるCodeChameleonを提案する。 我々は、7つの大規模言語モデルに関する広範な実験を行い、最先端の平均アタック成功率(ASR)を達成する。 GPT-4-1106上で86.6%のASRを実現する。
  論文  参考訳（メタデータ） (2024-02-26T16:35:59Z)
• InfoGuard: A Design and Usability Study of User-Controlled Application-Independent Encryption for Privacy-Conscious Users [1.2499537119440245]
  何十億ものセキュアメッセージングユーザーがエンドツーエンド暗号化(E2EE)を採用した ほとんどの通信アプリケーションはE2EEを提供しておらず、アプリケーションサイロは相互運用性を妨げる。 ユーザ間通信におけるE2EEを実現するシステムであるInfoGuardを提案する。
  論文  参考訳（メタデータ） (2023-11-01T19:54:01Z)
• RiDDLE: Reversible and Diversified De-identification with Latent Encryptor [57.66174700276893]
  本研究は、Reversible and Diversified De-identification with Latent Encryptorの略であるRiDDLEを提示する。 事前に学習したStyleGAN2ジェネレータ上に構築されたRiDDLEは、潜伏空間内の顔のアイデンティティを暗号化して復号する。
  論文  参考訳（メタデータ） (2023-03-09T11:03:52Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• Robust and Verifiable Information Embedding Attacks to Deep Neural Networks via Error-Correcting Codes [81.85509264573948]
  ディープラーニングの時代、ユーザは、サードパーティの機械学習ツールを使用して、ディープニューラルネットワーク(DNN)分類器をトレーニングすることが多い。 情報埋め込み攻撃では、攻撃者は悪意のあるサードパーティの機械学習ツールを提供する。 本研究では,一般的なポストプロセッシング手法に対して検証可能で堅牢な情報埋め込み攻撃を設計することを目的とする。
  論文  参考訳（メタデータ） (2020-10-26T17:42:42Z)
• Backdoor Attack against Speaker Verification [86.43395230456339]
  学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。 また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
  論文  参考訳（メタデータ） (2020-10-22T11:10:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。