論文の概要: On the (In)Security of Non-resettable Device Identifiers in Custom Android Systems

• arxiv url: http://arxiv.org/abs/2502.15270v1
• Date: Fri, 21 Feb 2025 07:52:46 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-24 16:09:05.553319
• Title: On the (In)Security of Non-resettable Device Identifiers in Custom Android Systems
• Title（参考訳）: カスタムAndroidシステムにおける非リセット可能なデバイス識別器の安全性について
• Authors: Zikan Dong, Liu Wang, Guoai Xu, Haoyu Wang,
• Abstract要約: 我々は、カスタムAndroid ROM上の脆弱性のあるプロパティと設定を識別するためのスケーラブルで正確なIDRadarを提案する。 非リセット可能な識別子を格納する8,192のシステムプロパティと3,620のセッティングを特定し,3,477のプロパティと1,336のセッティングに十分なアクセス制御が欠けている。 当社の大規模分析では,既存の技術よりも2桁も大きい,多数のセキュリティ問題を特定することが可能です。
• 参考スコア（独自算出の注目度）: 4.319029420721902
• License:
• Abstract: User tracking is critical in the mobile ecosystem, which relies on device identifiers to build clear user profiles. In earlier ages, Android allowed easy access to non-resettable device identifiers like device serial numbers and IMEI by third-party apps for user tracking. As privacy concerns grew, Google has tightened restrictions on these identifiers in native Android. Despite this, stakeholders in custom Android systems seek consistent and stable user tracking capabilities across different system and device models, and they have introduced covert channels (e.g., system properties and settings) in customized systems to access identifiers, which undoubtedly increases the risk of user privacy breaches. This paper examines the introduction of non-resettable identifiers through system customization and their vulnerability due to poor access control. We present IDRadar, a scalable and accurate approach for identifying vulnerable properties and settings on custom Android ROMs. Applying our approach to 1,814 custom ROMs, we have identified 8,192 system properties and 3,620 settings that store non-resettable identifiers, with 3,477 properties and 1,336 settings lacking adequate access control, which can be abused by third-party apps to track users without permissions. Our large-scale analysis can identify a large number of security issues which are two orders of magnitude greater than existing techniques. We further investigate the root causes of these access control deficiencies. Validation on 32 devices through the remote testing service confirmed our results. Additionally, we observe that the vulnerable properties and settings occur in devices of the same OEMs. We have reported our findings to the vendors and received positive confirmations. Our work underscores the need for greater scrutiny of covert access channels to device identifiers and better solutions to safeguard user privacy.
• Abstract（参考訳）: ユーザー追跡はモバイルエコシステムにおいて重要であり、デバイス識別子を使って明確なユーザープロフィールを構築する。 初期のAndroidでは、デバイスシリアル番号やIMEIなどのリセットできないデバイス識別子に、サードパーティのアプリから簡単にアクセスすることができた。 プライバシーの懸念が高まるにつれ、GoogleはネイティブAndroidにおけるこれらの識別子の制限を強化した。 それにもかかわらず、カスタムAndroidシステムのステークホルダは、さまざまなシステムやデバイスモデルにまたがる一貫性と安定したユーザトラッキング機能を求め、カスタマイズされたシステムに秘密チャンネル(例えば、システムプロパティと設定)を導入して識別子にアクセスしている。 本稿では,システムカスタマイズによる非リセット可能な識別子の導入と,アクセス制御の貧弱さによる脆弱性について検討する。 我々は、カスタムAndroid ROM上で脆弱なプロパティと設定を識別するためのスケーラブルで正確なIDRadarを提案する。 1,814のカスタムROMにアプローチを適用することで、未設定の識別子を格納する8,192のシステムプロパティと3,620のセッティングを特定しました。 当社の大規模分析では,既存の技術よりも2桁も大きい,多数のセキュリティ問題を特定することが可能です。 さらに、これらのアクセス制御障害の根本原因について検討する。 リモートテストサービスによる32デバイスでの検証の結果を確認した。 さらに、同じOEMのデバイスで脆弱な特性や設定が発生することを観察する。 当社は、この調査結果をベンダーに報告し、肯定的な確認を受けた。 私たちの研究は、デバイス識別子やユーザープライバシを保護するためのより良いソリューションに対する、より精査された秘密アクセスチャネルの必要性を強調しています。

関連論文リスト

• A Large-Scale Privacy Assessment of Android Third-Party SDKs [17.245330733308375]
  サードパーティのソフトウェア開発キット(SDK)は、Androidアプリ開発で広く採用されている。 この利便性は、ユーザのプライバシに敏感な情報への不正アクセスに関するかなりの懸念を引き起こす。 当社の研究では,AndroidサードパーティSDK間のユーザプライバシ保護を対象とする分析を行っている。
  論文  参考訳（メタデータ） (2024-09-16T15:44:43Z)
• Leveraging Machine Learning for Wi-Fi-based Environmental Continuous Two-Factor Authentication [0.44998333629984877]
  ユーザの入力を機械学習(ML)による決定に置き換える新しい2FAアプローチを提案する。 本システムは,Wi-Fiアクセスポイント(AP)からのビーコンフレーム特性や受信信号強度指標(RSSI)値など,ユーザに関連するユニークな環境特性を利用する。 セキュリティを強化するため,ユーザの2つのデバイス(ログインデバイスとモバイルデバイス)が,アクセスを許可する前に所定の近くに配置されることを義務付ける。
  論文  参考訳（メタデータ） (2024-01-12T14:58:15Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Locally Authenticated Privacy-preserving Voice Input [10.82818142802482]
  サービスプロバイダはユーザを認証しなければならないが、個人はプライバシの維持を望むかもしれない。 認証の実行中にプライバシを保存することは、特に敵がバイオメトリックデータを使用してトランスフォーメーションツールをトレーニングする場合には、非常に難しい。 ユーザの生信号のデバイス上の指紋をキャプチャして保存する,セキュアでフレキシブルなプライバシ保護システムを導入する。
  論文  参考訳（メタデータ） (2022-05-27T14:56:01Z)
• SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
  アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。 自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。 本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
  論文  参考訳（メタデータ） (2022-03-29T02:56:40Z)
• Analysis of Longitudinal Changes in Privacy Behavior of Android Applications [79.71330613821037]
  本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。 HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。 アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
  論文  参考訳（メタデータ） (2021-12-28T16:21:31Z)
• Biometrics: Trust, but Verify [49.9641823975828]
  バイオメトリック認識は、世界中のさまざまなアプリケーションに爆発しました。 生体認証システムの様々なサブモジュールに関する多くの顕著な問題と懸念があります。
  論文  参考訳（メタデータ） (2021-05-14T03:07:25Z)
• A Non-Intrusive Machine Learning Solution for Malware Detection and Data Theft Classification in Smartphones [0.06999740786886537]
  モバイルマルウェア攻撃に成功すれば、ユーザーの位置情報、写真、銀行情報さえ盗むことができる。 スマートフォンのマルウェア侵入を検出するだけでなく、盗まれたデータを識別して評価し、回復を助け、将来の攻撃を防ぐ必要があります。 マルウェアの侵入を検出するだけでなく、監視対象のアプリで盗まれたデータの種類を特定するために、アクセス可能な非侵入型機械学習ソリューションを提案します。
  論文  参考訳（メタデータ） (2021-02-12T13:31:27Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)
• Decentralized Privacy-Preserving Proximity Tracing [50.27258414960402]
  DP3TはSARS-CoV-2の普及を遅らせるための技術基盤を提供する。 システムは、個人やコミュニティのプライバシーとセキュリティのリスクを最小限にすることを目的としている。
  論文  参考訳（メタデータ） (2020-05-25T12:32:02Z)
• A Privacy-Preserving Solution for Proximity Tracing Avoiding Identifier Exchanging [0.0]
  識別子の交換を行なわず,GPSによる近接検出とBluetoothによる精度向上を両立させる手法を提案する。 関連する既存のソリューションとは異なり、複雑な暗号化メカニズムは採用されず、サーバがユーザーの位置について何も学ばないことを保証する。
  論文  参考訳（メタデータ） (2020-05-20T18:48:20Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。