MITコース「コンピューターシステムのセキュリティ」。 講義20：携帯電話のセキュリティ、パート2

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3

講義16：「サイドチャネル攻撃」 パート1 / パート2 / パート3

講義17：「ユーザー認証」 パート1 / パート2 / パート3

講義18：「インターネットのプライベートブラウジング」 パート1 / パート2 / パート3

講義19：「匿名ネットワーク」 パート1 / パート2 / パート3

講義20：「携帯電話のセキュリティ」 パート1 / パート2 / パート3



システムの詳細なレビューを開始する前に、1つの興味深いことを見つけてみましょう、これらの人がAn​​droidアプリケーション用にまったく新しいモジュール設計を開発したのはなぜですか？ デスクトップアプリケーション、Webアプリケーションがありますが、なぜソフトウェアを作成するまったく新しい方法を発明する必要があったのですか？ 確かに、ある意味では、これは開発者を混乱させます。 というのも、私はmain関数を使って小さなCプログラムを書くのに慣れていたからです。そして今、私はそれを見て次のように言っています。 このすべてで何をしますか？ C構造体を使用して通常の行にコードを記述する代わりに、4種類のコンポーネントを定義して意図を送信する必要がありますか？」







それでは、既存のアプリケーションモデルの長所と短所は何ですか？ デスクトップアプリケーションとインターネットアプリケーションがありますが、なぜ3番目のタイプのアプリケーションが必要なのですか？

学生：しかし、モデルは完全に変更されましたよね？ デスクトップアプリケーションの開発者を、モバイルデバイス用のアプリケーションの開発者ほど信頼するべきではないと思います。 さらに、コンピューターアプリケーションの経験豊富なユーザーの数に比べて経験豊富なユーザーがいて、互いに分離されたアプリケーションの束全体を使用したいと考えています。



教授：おそらく。 デスクトップアプリケーションの場合、開発者をあまり信頼してはいけないと思いますか？



学生：もちろん、コンピュータープログラムの問題を解決するのを手伝ってくれる経験豊富な息子やいとこが常にいるからです。しかし、電話では状況が異なります。



教授：もちろん、携帯電話が面倒を見るのにいとこを必要としないのはクールです。 しかし、セキュリティの観点から、コンピュータープログラムには1つの特徴的な特性があります。コンピューターに新しいアプリケーションをインストールするのは、かなり時間がかかるプロセスです。 実行可能ファイルをクリックしてインストールをいつでも開始できるため、これは完全に真実ではないかもしれませんが、デスクトップアプリケーションを定期的にインストールするとは思いません。 結局のところ、原則として、実行するソフトウェアの固定セットがあります。



この意味で、Webアプリケーションの特徴は、簡単に起動できることです。 サイトにアクセスするだけで、リンクをクリックする以外に何もする必要はありません。これで、新しいアプリケーションの管理下にある新しいサイトに既にアクセスできます。 したがって、これはWebアプリケーションの非常に優れたプロパティです。







コンピューターアプリケーションの悪い特徴は、アプリケーションの分離がないことです。 おそらく、これは何らかの方法で、そのようなアプリケーションをインストールするときに、コンピューター上のすべてのものを完全に信頼するという事実によるものです。 実際、ラップトップにインストールするアプリケーションと、既に存在する他のプログラムまたはデータとの間には分離はありませんが、Webアプリケーションの場合には、ある程度の分離があります。 Same Origin Policyを信頼している限り、安全です。 したがって、任意のWebサイトにアクセスして、そのアプリケーションの使用を開始しても安全です。 このアプリケーションがブラウザの脆弱性を利用しない場合、他のブラウザタブで開かれているサイトの操作を妨害しません。







Webアプリケーションは使いやすく分離されているため、依然として優れた位置にあるようです。 これらの人がAn​​droid Webアプリを使用しないのはなぜですか？



学生： Webアプリケーションにはオペレーティングシステムが含まれているようです。たとえば、Firefoxは基本的にモバイルインターネットOSです。



教授：確かに。 あなたはこれらの人たちが実際に間違っていると主張します。 新しいAndroid OSを作成することは想定されていませんでしたが、単純に携帯電話用の巨大なWebブラウザーを作成しました。



学生：少なくともMozillaはこれが可能であることを示しました。



教授：まあ、それはかなり公平です。 少なくとも、少なくとも電話に関しては、デスクトップシステムよりもWebアプリケーションを作成する方が賢明です。



学生： Webアプリケーションから電話をかけるため、Webアプリケーションインターフェイスを電話と通信するために、まったく新しいAPIを作成する必要があります。



教授：確かに。 したがって、Webアプリケーションには、修正できる1つの制限があります。一部のモバイルデバイスにはAPIがありません。 しかし、そのようなアプリケーションはほとんどありません。 たとえば、カメラやGPSナビゲーターの場合、Webアプリケーションに適切なインターフェイスをゆっくりと追加しますが、適切なインターフェイスを追加します。 ただし、Webアプリケーションには、呼び出し、SMSメッセージの送信などのためのAPIがまだ存在しない可能性があります。



Webアプリケーションのもう1つの欠点は、他のアプリケーションへの制限されたアクセスを確立できないことです。 Androidの暗黙的な意図について話しました。「JPEG画像を表示したいのですが、どのアプリケーションがそれを開くかを知っているのは誰ですか？」 このPDFファイルを表示するか、カメラで撮影したばかりの友人とこの写真を共有したいのですが、使用するメールアプリケーションがわかりません。 それでは、リンクモニタに、この写真を送信するメールプログラムを見つけてもらいましょう。 Androidデバイスではこれは簡単ですが、Webアプリケーションの場合は、各操作を特定のURLにリンクする必要があるため、非常に困難になります。







そのため、誰かがどのPDFビューアを使用しているかわからない場合、ファイルの表示に使用できるURLはわかりません。



学生：おそらくWebアプリケーションの欠点は、JavaScriptが非常に読みにくいことでしょうか？



教授：はい、もう1つ不便な点は、それらがすべてJavaScriptで書かれていることです。 したがって、これはパフォーマンスの点であまり良くない可能性があり、プログラムが何をしているのかを理解するのが難しく、効率的にコンパイルするのが難しいなどです。



コンピュータプログラムに戻りましょう。 デスクトップアプリケーションの便利な機能は、ファイルを共有する機能です。 ファイルを共有するだけなので、すべてのアプリケーションですべてのファイルを使用できます。 したがって、コンピューターで使用可能なデータに簡単にアクセスできます。







Androidでの実装が少し難しいのは、コンピューターアプリケーションで簡単に実行できることです。 デスクトップOSの場合、ソフトウェアをコンパイルしたい場合は、MAKEを実行し、GCCと、場合によっては他のいくつかのプログラムを実行します。それらはすべて、同じディレクトリ内の同じCソースコードで動作します。 これは、データがコンテンツプロバイダーによって保存されているメインアプリケーションに関連付けられているAndroidで行うのがはるかに困難です。 そのため、最初にソースコードリポジトリを使用し、次にCコンパイラ、MAKEプログラム、アセンブラなどをインストールする必要があります。 彼らを一緒に働かせることはずっと難しい。



これは、Androidの制限の一部をバイパスして実行できますが、いずれにしてもデスクトップシステムよりも複雑です。



学生： Webアプリケーションの最適化は非常に難しいと思います。RAMの使用と処理能力によって制限されます。



教授：はい、Webアプリケーションとデスクトップアプリケーションの最適化の原則は異なります。 少なくともAndroidを設計していたときのWebアプリケーションの欠点は、Webアプリケーションをオフラインで起動することが非常に難しかったことだと思います。 電話機が弱いネットワーク信号をキャッチすると、一部のアプリケーションを起動するのが難しくなります。特に、一部のアプリケーションがキャッシュから外れた場合はそうです。 ただし、お気づきのように、現在の制限をなくすことで、AndroidのWebアプリケーションはゆっくりですが、「追いつく」ことができます。 そのため、Webアプリケーションが新しい電話オペレーティングプラットフォームを起動するための合理的なモデルとして機能することは完全に可能です。 しかし、5年前には、これには十分ではありませんでした。



しかし、既存の欠点にもかかわらず、新しいモバイルOSをゼロから開発し始めるよりも、Androidが占めるニッチにWebアプリケーションを「プッシュ」する方がはるかに簡単になります。 したがって、Androidが行ったことの成功についてはまだ話せると思いますが、おそらく今日はこのようにしない方が良いでしょう。

分離という点では、Androidシステムのセキュリティははるかに高いと思います。 前述したように、AndroidはLinuxカーネルに依存してアプリケーションを相互に分離します。 Androidプラットフォームは実際にユーザーIDを設定するため、このApp1はUID 1001を持ち、App 2はUID 1002を持ち、通常root権限を持つリンクモニターはUID 0を持ちます。そのため、Linuxカーネルは主にアプリケーションの相互分離。







基本的に、ユーザー識別子間の相互作用はインテントの意図によって発生します。 LinuxカーネルがUIDを使用してアプリケーションを制御する方法については、さらに多くのニュアンスがありますが、これについては後ほど説明します。



1つの興味深い質問：なぜこれらの人はJavaを選んだのですか？ AndroidでのJavaの役割は何ですか？ なぜ必要なのですか？ すべてのアプリケーションをJavaの代わりにCで、または、例えばアセンブラーで書くと、何か壊れることはありますか？



学生：脆弱性がある場合、これらの言語を使用すると、システムにとって重要なインジケーターの歪みにつながる可能性があります。



教授：はい、これは発生する可能性があります。たとえば、アプリケーションでバッファオーバーフローが発生する可能性があります。 他に何？



学生：権限の混乱が発生する可能性があります。



教授：どのような許可がありますか？



学生：待ち時間、待ち時間など。



教授：これを詳しく見てみましょう。 したがって、前述のように、リンクモニターはタグをチェックし、実際にインストールされているすべてのアプリケーションのリストとこれらすべてのアプリケーションに対応するタグをAndroidシステムに保存します。 したがって、リンクモニタがどの言語で書かれていても、リンクモニタでエラーを発生させたくないでしょう。 したがって、タイプセーフな言語で記述されたリンクモニターを使用することは、良い解決策です。 Javaは、優れた機能を備えたタイプセーフな言語であるため、気に入っています。 ただし、アプリケーションがCで記述されていて、バッファオーバーフローが発生した場合でも、リンクモニタのラベルが破損することはありません。 したがって、それは大きな問題にはなりません。



学生： Cで書かれたコードを損傷する可能性のあるシステムがあるのでしょうか？



教授：はい、したがって、原則として、Linuxカーネルと直接対話するアプリケーションを避けるのが良いでしょう。 Androidでは、これは当てはまりません。 Androidアプリケーションは、必要に応じて任意のシステムコールを実行できます。 実際、パフォーマンス上の理由から、アプリケーションはCまたはアセンブラーで記述された任意のコンポーネントに影響を与えることができないため、一部のゲームはJavaを「話す」。



学生：何らかの形で、これはJava向けに書かれたすべての資料を使用する機会だと思います。つまり、Androidの作成者は開発者向けのアプリケーションの作成を簡素化したいと考えました。 これを行う最も簡単な方法の1つは、膨大なJavaライブラリを活用する機能を作成することです。



教授：おそらく。 Javaを使用する主な理由の1つは使いやすさだと思います。 Javaはセキュリティとほとんど関係がないため、おそらくプログラミングと開発の容易性に関心がありました。



iPnoneとは異なり、ここに別の場所があります。 iPhoneオペレーティングシステムの開発も簡単ですが、Cを使用しているため、試してみるとバッファオーバーフローが発生する可能性があります。 さらに、特定の機器には特異性があるため、すべてのライブラリが同じではない場合があります。 Android開発者がJavaを選んだ主な理由は、このOSが動作するデバイスの特性を最初は知らなかったからだと思います。 たとえば、iPhoneの作成者は、携帯電話にARMプロセッサを搭載することを確信していたため、この特定のモデルでソフトウェアをプリコンパイルしました。 また、このアプローチはより効果的です。なぜなら、バッテリーの消費は電話にとって非常に重要だからです。







Androidの開発者がJavaを使用しているという事実は、JREなどに関連しているため、おそらく節電やプロセッサのパフォーマンスの点で効率が低いでしょう。 ただし、OSを異なるアーキテクチャのデバイスに移植する利点があります。 したがって、MIPS、ARM、またはx86プロセッサを搭載した電話がある場合、Javaアプリケーションは3つすべてのデバイスで実行できます。 Android開発者は、プラットフォームをあらゆる種類の機器または電話で使用することを望んでいました。 したがって、これがおそらくJavaを使用するためにセキュリティを犠牲にした主な理由です。



Javaランタイム環境は、アプリケーションに特別なセキュリティ上の利点を提供するものではなく、開発者とユーザーにとって便利なものであることがわかります。 しかし、分離という点では、基本的にはカーネルと、アプリケーションの動作を制御するリンクモニターに依存します。



学生：開発のしやすさはアプリケーションのセキュリティにつながりませんか？ 結局のところ、C参照モニターを作成するとき、間違いを犯す方法は他にもたくさんあります。



教授：はい、あなたは絶対に正しいです！ 実際、開発の容易さはセキュリティとは何の関係もないと言ってはいけません。 あなたは正しいコードを書くのと同じくらい簡単にそれをしたいので、これは完全に愚かです。 そのため、ある意味では、正しいコードのみを簡単に記述できるシステムの方がより安全です。 ある意味では、Android開発者がコードを記述する際にミスを避けたいと思っているので、複雑なC言語で記述したくはないと思います。そして、OSの開発時にAppleがプログラミング言語としてCを選んだ理由はわかりません。



そのような選択はアプリケーションでバッファオーバーフローの問題を引き起こすため、このアプリケーションが非常に重要である場合、潜在的に脆弱です。 他のアプリケーションを侵害することとは関係ありませんが、銀行のアプリケーションをCで記述したくはありません。







学生： JavaまたはCで書かれたリンクモニター？



教授： Androidでは、リンクモニターはほとんどがJavaで書かれています。 ただし、ネイティブコードを使用して外部インターフェイスおよびアプリケーションと通信するために、いくつかの「フック」があります。 ただし、ほとんどのロジックはJavaで記述されています。 したがって、これは実際にはかなり安全な計画です。



ここで、アプリケーションUIDが他にどのような用途に使用されているかを調べてみましょう。ただし、アプリケーションが開始するプロセスに関してアプリケーションを互いに分離する場合を除きます。 UIDを使用する主な理由は、共有リソースへのアクセスを共有し、システム内のデータを交換する機能を作成することです。



このためのメカニズムの1つを既に見てきました-リンクモニターに意図を送信します。 しかし、Androidには、リンクモニターの意図を介して行われていないことがたくさんあります。 パフォーマンス上の理由から、すべてがIntent経由で送信されるとは限りません。 主にインターネットへのアクセスのために、システム上で行うすべての操作に対してリンクモニターを呼び出す必要はありません。 Androidを実行しているデバイスでインターネットにアクセスする場合は、標準のLinuxアプリケーションと同様に、ソケットを開くだけです。 アプリケーションは単にカーネルに尋ねることができます：「このマシンに接続したいのでソケットが必要です」、これがインターネットへのアクセス方法です。



次に、リムーバブルメディアへのアクセスに注意する必要があります。 電話機にSDカードがある場合、それとの通信もカーネルを介して直接実行されます。 一般に、ファイルシステムは既にそこにあるため、ファイルシステムへのあらゆる種類のアクセス、または少なくともファイルシステムへの直接アクセスは、カーネルを介して直接行われます。 これは、パフォーマンスのオーバーヘッドを回避するために行われます。 さらに、ほとんどのハードウェアデバイスと同様に、Androidでは、リンクモニターを介してアクセスを転送する代わりに、アプリケーションがデバイスと直接通信できるようにします。 , , GPS-, .







«» Android, Linux, /dev/camera. Linux, , , . , - , , Java. C Assembler, Linux, . Java , Java-.



: , , - , ?



: , ! , . ? , №2, ID . Android UID GID , . , . , , , - «android.permission.internet», , .







, . , , , . — Linux Android. , - , - , , Linux. Android GID 3003, . , , . , - . Android - , . , GID UID .



SD-. GID, SD-, , . , . , SD- GID SD-.

, , Android.







, , , . , SQL -, , . — UID , , .



, , , GPS, . GID, . , , dev/camera - GID, , , GID .



, , №2, , UID GID , - .



, SD-? , SD-? , SD- , , . ?



: , , , , .



: . , Android , . , SD- . , , SD- . , Android , , , FAT, - . , , - .



: , ?



: , . , , . , , , , . , .







— , , ? , , DIALPERM, INTERNET, FRIENDVIEW?



: , , ?



: , , , . , , . , . Android , iOS, , iPhone , , , SMS-, JPEG . .



– , , . . , Android , , . , - «», , , , , OK. , , .



, , , Android , — , . , , , . Android, 4.3, , , . , . , , , , . , , API, , .



55:10



コースMIT「コンピューターシステムセキュリティ」。講義20：携帯電話のセキュリティ、パート3





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで1か月間無料で6か月の期間をお支払いの場合は、こちらで注文できます。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？