ScreenPass: Secure Password Entry on Touchscreen Devices

ScreenPass: Secure Password Entry on Touchscreen Devices

Dongtao Liu Duke University

Durham, NC, USA

Mobisys 2013

Abstract 

우리는 정기적으로 애플리케이션의 로그인을 하고 있다(아이디, 패스워드) 하지만 불행하게도 개별적인 애플리케이션이 이 민감한 정보를 처리할 수 있다는 보장을 할수 없다 그래서 이논문에서는 ScreenPass를 소개한다. 이것은 터치 스크린 장비에서 패스워드의 보안성을 크게 향상시켰다. 

ScreenPass는 패스워드를 입력할 때 보안을 보장한다 그리고 애플리케이션이 패스워드 데이터를 전송할 때 그것이 감염이 된 데이터 인지 모니터링하는데 사용이 된다. ScreenPasss는 개인적인 기술 부분을 다루고 있다. 보장할수 있는 신뢰성있는 코드를 사용하여 사용자의 패스워드 접속을 보장한다. 

ScreenPasss는 두가지 기술을 지원하여 위사항을 보장한다. 

첫째로 신뢰할 수 있는 소프트웨어 키보드가 실려있다. (이것은 패스워드 도메인을 명시할것을 권장한다?)

둘째로 ScreenPasss는 광학 문자 인식(optical character recognition)을 실행한다. on screenbuffer에 페스워드를 확인한다. 검증된 키보드로 입력된 것인지를 

이들은 프로토타입 구현후 실험하였다. 설계된 공부와 작은 애플리케이션 공부로 이들의 프로토타입은 발견하였다. 다이나믹 정적 키보드 스푸핑 공격과  generated zero false positives.

에너지 오버해드가 12%정도 발생한다 크다;;

1. INTRODUCTION

우리가 애플리케이션을 사용하면 하나의 애플리케이션당 하나의 서버에 패스워드 정보를 전송하게 된다. 암호는 매우 민간한 자료이며 다른 애플리케이션에게 넘겨야 한다면 다음과 같은 질문을 할 수 있다. 

"애플리케이션의 나의 암호를 확실하게 처리 하고 있는것인가"

현실로 최근에 패스워드를 훔치는 애플리케이션들이 발견되고 있다. 

신뢰할만한 information-flow monitor인 TaintDroid전달되는 패스워드 데이터를 추적할 수 있다. 하지만 데이터는 반드시 테그 되어 있어야만 추적이 가능하다. 지난 시스템의 sensitive user input 인 secure attention sequence (SAS)를 통하여, 패스워드가 시작된다는 태그인 “@@” 와 같은것 신뢰할 수 있는 소프트웨어는 이것을(SAS) 반드시 모니터링 해야하고 이것이 감지된다면 암호데이터로 처리해야만한다. 하지만 터치 스크린에서의 SAS 입력 스트림 인식은 어려운 일이다 왜나면 소프트웨어 키보드 이기 때문이다. 

인증된 터치스크린 드라이버나 유저 인터페이스 메니저는 스크린의 좌표를 사용자의 탭으로 인증받아서 그때서야 사용자의 탭의 의도를 파악할 수 있다. // 물리적인 키보드는 입력 즉시 이게 키보드라는 걸 알 수 있지만 터치 기반에서는 처음에는 좌표로 인식하고 그 다음에서야 이게 키보드로 인식되는 구조를 가지고 있음 

물론 플랫폼에서 화면의 일부 장소를 안전한 동작을 위해서 예약 할 수 있지만 이것은 현대 작은 화면의 디바이스에서 화면을 매우 중요한 자원이기 때문에 현실성이 쩔어진다. 다양한 APP 게임이나 브라우징 미디어 플레이어 등등 은 전체 화면에 대한 접근 권한이 필요하다. 운나쁘게도 악의적인 app들은 신뢰할 만한 소프트웨어 키보드를 spoof로  유저 인터페이스를 악용할 수 있다. 

스푸핑 공격을 받고, 사용자가 입력한 SAS입력이 악의적인 응용프로그램에 직접 전달 되었다고 할수 있다.

비밀번호가 안전하게 입력되도록 보장하기 위하여 이들은 ScreenPass라는 시스템 콜을 개발하였다. 

ScreenPass는 특수 목적의 소프트웨어 키보드를 지원한다 for 패스워드와 갗은 민감한 데이터를 입력을 위한 즉 사용자가 테그 할 수 있다 도메인에 대한 입력에 대하여 

screen tag는 taint-track the user’s password data 가 애플리케이션에 전달될따 사용한다. ScreenPass uses these tags to taint-track the user’s password data as it propagates through the app. Tags can subsequently be used to enable a number of useful policies. For example 시스템은 알 필요가 있을있다. 암호데이터가 디스크에 있을때 아니면 IPC를 통하여 애플리케이션간의 공유가 필요할지. 유사하게 만약에 애플리케이션이 암호를 네트워크에 쓰려고 한다면 가드는 네트워크 엔드 포인트의 기능에 대해 추론하여 쓰기의 안전을 확인할 수 있습니다

ScreenPass의 주요목적은  인증된 키보드를 통해서만 패스워드 데이터가 입력되는것을 보증하는것이다. (응용 프로그램에 들어 가기 전에 tag될수 있도록 하는것이다. ) 

이 목표를 달성하기 위해, ScreenPass 사용자가 소프트웨어 키보드가 나타나는 것으로 예상 스크린의 영역에 dynamic optical character recognition (OCR)을 수행합니다.화면의이 영역에서 텍스트는 키보드의 "QWERTY"텍스트와 충분히 유사한 경우 그리고 입력순간에 포그라운드 프로세서가 스크린에 대한 제어권을 인증된 키보드로 넘기지 않을경우 OS단에서 포그라운드 프로세서를 죽이거나 경고를 할 수 있다. 

This paper makes the following contributions

- 이전 연구들은 어디서 신뢰지 않은 코드가 실핼하는가에대한제한이 있지만 우리 scrrenpass는 처음으로 시스템레벨에서 모바일 화면의 특성에 맞는 연구를 하였다. 

- 온라인 스누핑을 막은 최초의 시스템이다. 

- 이들은 안드로이드에서 구현하였고 12%의 에너지 오버헤드를 가진다. 안좋은 경우 

4. ScreenPass

ScreenPass는 3 장에서 설명한 안드로이드 터치 스크린 장치에 대한 암호 입력을 확보하는 방법의 실현이다.

4.2 Capturing and tainting passwords

Figure 1 shows a high-level overview of how ScreenPass captures and tags a user’s password.그림에서 화살표는 구성 요소에서 IPC 호출을 나타냅니다. 그림에서 회색은 신뢰할 수 없는 APP이다. 

첫번째 스탭으로 신뢰되지 않은 애플리케이션이 IMF와 IME의 패스워드 요청으로 시작된다. 요청은 소프트웨어 키보드가 적절하게 구성 할 수 있도록 대상 위젯을 설명하는 속성이 포함되어 있습니다. IMF는 ScreenPass IME에 응용 프로그램을 할당하고 대상 위젯의 속성을 따라 전달합니다.IME는 위젯 암호 모드에 있는지 확인하기 위해이 속성을 확인합니다.

옵션이 패스워드 모드라고 하며 ScreenPass 서비스가 시작이 된다. 

1 step

인증이되지않은 애플리케이션에서 IMF에게 IME를 요구한다. 

IMF는 인증되지않은 애플리케이션에게 screenPass IME를 할당하고 대상 위젯의 속성을 전달한다. 

IME는 속성을 체크하여 password mode가 있는지 확인한다. 

만약에 위젯이 password모드라면 보안 키보드는 처음으로 디바이스에 페스워드 모드를 넣기위해서 ScreenPass system service 접촉한다. 

ScreenPass 시스템 서비스는 ScreenPass 상태에 대한 중앙 저장소 역할을합니다.

악성 애플리케이션은 해당 위젯이 패스워드 모드가 아니라고 주장할 수 도 있다. 

이 경우, ScreenPass IME는 사용자가 자신의 암호를 태그를 표시하지 않습니다 그리고 사용자는 반드시 (1) avoid entering their password, or (2) use an area at the bottom of the secure keyboard to actively tag their password and put the device in password mode.

디바이스가 장치 모드에 있으면, 안드로이드 창관리자에게 보안키보드와 도메인 선택기를 요청할 수 있다. The tag list allows a user to associate an administrative domain with her password. 할당은 패스워드 입력전이나 태크전에 되어야 한다. 그결과 소프트웨어 키보드는 테그가 선택 될때까지 입력을 무시한다. 그리고 보안키보드는 즉각적으로 사용자의 도메인 트리거를 출력한다. 

사용자의 도메인이 선택되면 키보드는 관련되 taint tag를 찾는다 그리고 이후의 모든 입력 문자에 태그를 적용하게 된다.