論文の概要: What You Trust Is Insecure: Demystifying How Developers (Mis)Use Trusted Execution Environments in Practice

• arxiv url: http://arxiv.org/abs/2512.17363v1
• Date: Fri, 19 Dec 2025 09:02:58 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-22 19:25:54.316123
• Title: What You Trust Is Insecure: Demystifying How Developers (Mis)Use Trusted Execution Environments in Practice
• Title（参考訳）: 信頼できないもの - 実践における信頼された実行環境の開発者(ミス)の使い方のデミス
• Authors: Yuqing Niu, Jieke Shi, Ruidong Han, Ye Liu, Chengyan Ma, Yunbo Lyu, David Lo,
• Abstract要約: 本稿では,実世界のTEE応用に関する大規模な実証的研究について述べる。 私たちは、最も広く採用されている2つのTEE、Intel SGXとARM TrustZoneを利用するGitHubから241のオープンソースプロジェクトを分析しました。
• 参考スコア（独自算出の注目度）: 13.772042459342865
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Trusted Execution Environments (TEEs), such as Intel SGX and ARM TrustZone, provide isolated regions of CPU and memory for secure computation and are increasingly used to protect sensitive data and code across diverse application domains. However, little is known about how developers actually use TEEs in practice. This paper presents the first large-scale empirical study of real-world TEE applications. We collected and analyzed 241 open-source projects from GitHub that utilize the two most widely-adopted TEEs, Intel SGX and ARM TrustZone. By combining manual inspection with customized static analysis scripts, we examined their adoption contexts, usage patterns, and development practices across three phases. First, we categorized the projects into 8 application domains and identified trends in TEE adoption over time. We found that the dominant use case is IoT device security (30%), which contrasts sharply with prior academic focus on blockchain and cryptographic systems (7%), while AI model protection (12%) is rapidly emerging as a growing domain. Second, we analyzed how TEEs are integrated into software and observed that 32.4% of the projects reimplement cryptographic functionalities instead of using official SDK APIs, suggesting that current SDKs may have limited usability and portability to meet developers' practical needs. Third, we examined security practices through manual inspection and found that 25.3% (61 of 241) of the projects exhibit insecure coding behaviors when using TEEs, such as hardcoded secrets and missing input validation, which undermine their intended security guarantees. Our findings have important implications for improving the usability of TEE SDKs and supporting developers in trusted software development.
• Abstract（参考訳）: Intel SGXやARM TrustZoneのようなTrusted Execution Environments (TEEs)は、セキュアな計算のためにCPUとメモリの独立した領域を提供し、さまざまなアプリケーションドメインにわたる機密データやコードを保護するためにますます利用されている。 しかし、開発者が実際にTEEをどのように使っているかについては、ほとんど分かっていない。 本稿では,実世界のTEE応用に関する大規模な実証的研究について述べる。 私たちは、最も広く採用されている2つのTEE、Intel SGXとARM TrustZoneを利用する、GitHubから241のオープンソースプロジェクトを収集し、分析しました。 手動検査とカスタマイズされた静的解析スクリプトを組み合わせることで,3段階にわたる採用状況,利用パターン,開発プラクティスについて検討した。 まず、プロジェクトを8つのアプリケーションドメインに分類し、時間とともにTEEの採用傾向を特定しました。 主要なユースケースはIoTデバイスセキュリティ(30%)であり、ブロックチェーンや暗号システム(7%)に対する従来の学術的な関心とは対照的に、AIモデル保護(12%)は急速に成長しているドメインとして現れています。 第2に、TEEがソフトウェアにどのように統合されているかを分析し、32.4%のプロジェクトが公式のSDK APIを使う代わりに暗号化機能を再実装していることを観察した。 第3に,手動検査によるセキュリティ実践を調査し,25.3%(241件中61件)のプロジェクトでは,ハードコードされたシークレットや入力バリデーションの欠如など,TEEを使用する際の安全性の低いコーディング行動を示し,セキュリティ保証を損なうことが分かった。 我々の発見は、TEE SDKのユーザビリティ向上と、信頼できるソフトウェア開発における開発者のサポートに重要な意味を持っている。

関連論文リスト

• A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [49.009041488527544]
  A.S.Eは、AI生成コードのセキュリティを評価するためのリポジトリレベルの評価ベンチマークである。 現在の大規模言語モデル(LLM)は、セキュアなコーディングに苦戦している。 大きな推論予算は、必ずしもより良いコード生成につながるとは限らない。
  論文  参考訳（メタデータ） (2025-08-25T15:11:11Z)
• Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
  本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。 デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。 提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
  論文  参考訳（メタデータ） (2025-08-20T18:42:36Z)
• Qualcomm Trusted Application Emulation for Fuzzing Testing [0.3277163122167433]
  この研究はQualcomm TEE内の信頼できるアプリケーション(TA)に焦点を当てている。 リバースエンジニアリング技術を通じて,その動作を正確にエミュレートする部分的なエミュレーション環境を開発する。 我々はファジィテスト技術をエミュレータに統合し、Qualcomm TAの潜在的な脆弱性を体系的に発見する。
  論文  参考訳（メタデータ） (2025-07-11T06:10:15Z)
• AutoTEE: Automated Migration and Protection of Programs in Trusted Execution Environments [16.857621995920262]
  AutoTEEは、開発者の介入を最小限に抑えて、機密性の高い機能をTEEに識別、分割、変換、ポートすることができる。 変換されたコードを、Intel SGXやAMD SEVなど、さまざまなTEEプラットフォームに自動的に移植するメカニズムを提供する。
  論文  参考訳（メタデータ） (2025-02-19T02:37:00Z)
• Research Directions for Verifiable Crypto-Physically Secure TEEs [0.0]
  Web3アプリケーションは、ハードウェアベースのTEEの信頼できる保護者として機能するために、クラウドのインフラに依存する必要があります。 この研究は、物理的な攻撃に対してセキュアなチップを設計して実装する方法を模索することを目的としています。
  論文  参考訳（メタデータ） (2024-10-04T06:47:14Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• A Large-Scale Study on the Prevalence and Usage of TEE-based Features on Android [0.0]
  本研究は,暗号,デジタル著作権管理,生体認証,セキュアダイアログの重要領域に焦点を当てた。 170,550の人気のAndroidアプリの分析を通じて、私たちの分析は、TEE関連の機能の実装とそのコンテキスト使用法を照らす。
  論文  参考訳（メタデータ） (2023-11-17T13:29:16Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。