論文の概要: KeyDroid: A Large-Scale Analysis of Secure Key Storage in Android Apps

• arxiv url: http://arxiv.org/abs/2507.07927v1
• Date: Thu, 10 Jul 2025 17:07:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-11 16:40:15.505259
• Title: KeyDroid: A Large-Scale Analysis of Secure Key Storage in Android Apps
• Title（参考訳）: KeyDroid: Androidアプリのセキュアなキーストレージの大規模分析
• Authors: Jenny Blessing, Ross J. Anderson, Alastair R. Beresford,
• Abstract要約: 当社は,Androidデバイスにおけるハードウェアベースのキーストレージに関する,初の総合的な調査を実施している。 われわれは490の119のAndroidアプリを分析し、アプリ開発者による信頼されたハードウェアの使用状況に関するデータを収集した。 機密性の高いユーザデータを処理しているアプリケーションの56.3%が,Androidの信頼性のあるハードウェア機能をまったく使用していないことが分かっています。
• 参考スコア（独自算出の注目度）: 6.872289094878493
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Most contemporary mobile devices offer hardware-backed storage for cryptographic keys, user data, and other sensitive credentials. Such hardware protects credentials from extraction by an adversary who has compromised the main operating system, such as a malicious third-party app. Since 2011, Android app developers can access trusted hardware via the Android Keystore API. In this work, we conduct the first comprehensive survey of hardware-backed key storage in Android devices. We analyze 490 119 Android apps, collecting data on how trusted hardware is used by app developers (if used at all) and cross-referencing our findings with sensitive user data collected by each app, as self-reported by developers via the Play Store's data safety labels. We find that despite industry-wide initiatives to encourage adoption, 56.3% of apps self-reporting as processing sensitive user data do not use Android's trusted hardware capabilities at all, while just 5.03% of apps collecting some form of sensitive data use the strongest form of trusted hardware, a secure element distinct from the main processor. To better understand the potential downsides of using secure hardware, we conduct the first empirical analysis of trusted hardware performance in mobile devices, measuring the runtime of common cryptographic operations across both software- and hardware-backed keystores. We find that while hardware-backed key storage using a coprocessor is viable for most common cryptographic operations, secure elements capable of preventing more advanced attacks make performance infeasible for symmetric encryption with non-negligible payloads and any kind of asymmetric encryption.
• Abstract（参考訳）: ほとんどの現代のモバイルデバイスは、暗号鍵、ユーザーデータ、その他の機密情報のためのハードウェアベースのストレージを提供する。 このようなハードウェアは、悪意のあるサードパーティアプリのようなメインOSを侵害した敵による認証情報の抽出から保護する。 2011年以降、Androidアプリ開発者はAndroid Keystore APIを通じて信頼できるハードウェアにアクセスできる。 本研究は,Androidデバイスにおけるハードウェアベースのキーストレージに関する総合的な調査である。 当社は490の119 Androidアプリを解析し、アプリ開発者が信頼されたハードウェアをどのように使用しているかのデータを収集し(もし使用すれば)、Play Storeのデータ安全ラベルを通じて開発者によって自己報告されたように、各アプリによって収集されたセンシティブなユーザデータで私たちの発見を相互参照します。 業界全体で採用を促進する取り組みにも関わらず、機密性の高いユーザデータを処理しているアプリケーションの56.3%はAndroidの信頼できるハードウェア機能を全く使用していない。一方、何らかの機密データを収集しているアプリの5.03%は、主要なプロセッサとは異なる強力なハードウェアを使用している。 セキュアなハードウェアの使用の潜在的な欠点をよりよく理解するために,我々は,モバイルデバイス上での信頼性の高いハードウェア性能の実証分析を行い,ソフトウェアとハードウェアが支援するキーストア間の共通暗号操作のランタイムを測定した。 コプロセッサを用いたハードウェアベースのキーストレージは、ほとんどの暗号処理において有効であるが、より高度な攻撃を防止できるセキュアな要素は、非無視ペイロードや何らかの非対称暗号化による対称暗号化に性能を悪用することを発見した。

関連論文リスト

• OTA-Key: Over the Air Key Management for Flexible and Reliable IoT Device Provision [18.700561665322905]
  IoTベンダは頻繁に、共有キーをデバイスのバッチに割り当てる。 このプラクティスは、アタッカーによるデータ盗難など、デバイスをリスクに晒すことができる。 この問題に対処するためのOTAキー方式を提案する。
  論文  参考訳（メタデータ） (2024-12-16T08:50:00Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• DIMSIM -- Device Integrity Monitoring through iSIM Applets and Distributed Ledger Technology [0.023020018305241332]
  eUICC技術を用いて遠隔機器の整合性を監視する分散台帳技術指向アーキテクチャを提案する。 eUICCは、セルラー接続のための産業機器で一般的に見られる機能である。 端末の整合性を監視するエンド・ツー・エンドのアーキテクチャを提案し、システム内のすべての利害関係者がデバイスを信頼できるようにする。
  論文  参考訳（メタデータ） (2024-05-16T09:13:54Z)
• EmojiPrompt: Generative Prompt Obfuscation for Privacy-Preserving Communication with Cloud-based LLMs [34.77734655124251]
  EmojiPromptは生成変換を行い、言語的および非言語的要素を持つプロンプト内でプライベートデータを難読化する。 さまざまなドメインから8つのデータセットにまたがるEmojiPromptの性能を評価した。 EmojiPromptの原子レベルの難読化により、クラウドベースのLCMでのみ機能する。
  論文  参考訳（メタデータ） (2024-02-08T17:57:11Z)
• dabih -- encrypted data storage and sharing platform [0.0]
  dabihは、ユーザフレンドリな暗号化データ管理を容易にするために設計されたオープンソースのWebアプリケーションである。 データセキュリティに対するアプローチは、2段階のエンベロープ暗号化プロセスを含む。 データの復号化に必要な秘密鍵は、所有者のデバイスに限られる。
  論文  参考訳（メタデータ） (2024-01-16T12:57:35Z)
• Blockchain-based Zero Trust on the Edge [5.323279718522213]
  本稿では,ブロックチェーンに拡張されたゼロトラストアーキテクチャ(ZTA)に基づく新たなアプローチを提案し,セキュリティをさらに強化する。 ブロックチェーンコンポーネントは、ユーザの要求を格納するための不変データベースとして機能し、潜在的に悪意のあるユーザアクティビティを分析して識別することで、信頼性を検証するために使用される。 スマートシティにおけるその実現可能性と適用性を検証するために,テストベッド上で実施したフレームワーク,アプローチのプロセス,実験について論じる。
  論文  参考訳（メタデータ） (2023-11-28T12:43:21Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• A survey on hardware-based malware detection approaches [45.24207460381396]
  ハードウェアベースのマルウェア検出アプローチは、ハードウェアパフォーマンスカウンタと機械学習技術を活用する。 このアプローチを慎重に分析し、最も一般的な方法、アルゴリズム、ツール、および輪郭を形成するデータセットを解明します。 この議論は、協調的有効性のための混合ハードウェアとソフトウェアアプローチの構築、ハードウェア監視ユニットの不可欠な拡張、ハードウェアイベントとマルウェアアプリケーションの間の相関関係の理解を深めている。
  論文  参考訳（メタデータ） (2023-03-22T13:00:41Z)
• A Non-Intrusive Machine Learning Solution for Malware Detection and Data Theft Classification in Smartphones [0.06999740786886537]
  モバイルマルウェア攻撃に成功すれば、ユーザーの位置情報、写真、銀行情報さえ盗むことができる。 スマートフォンのマルウェア侵入を検出するだけでなく、盗まれたデータを識別して評価し、回復を助け、将来の攻撃を防ぐ必要があります。 マルウェアの侵入を検出するだけでなく、監視対象のアプリで盗まれたデータの種類を特定するために、アクセス可能な非侵入型機械学習ソリューションを提案します。
  論文  参考訳（メタデータ） (2021-02-12T13:31:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。