TU Darmstadt / ULB / TUbiblio

Towards Modular and Flexible Access Control on Smart Mobile Devices

Heuser, Stephan (2016)
Towards Modular and Flexible Access Control on Smart Mobile Devices.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

Smart mobile devices, such as smartphones and tablets, have become an integral part of our daily personal and professional lives. These devices are connected to a wide variety of Internet services and host a vast amount of applications, which access, store and process security- and privacy-sensitive data. A rich set of sensors, ranging from microphones and cameras to location and acceleration sensors, allows these applications and their back end services to reason about user behavior. Further, enterprise administrators integrate smart mobile devices into their IT infrastructures to enable comfortable work on the go.

Unsurprisingly, this abundance of available high-quality information has made smart mobile devices an interesting target for attackers, and the number of malicious and privacy-intrusive applications has steadily been rising. Detection and mitigation of such malicious behavior are in focus of mobile security research today. In particular, the Android operating system has received special attention by both academia and industry due to its popularity and open-source character. Related work has scrutinized its security architecture, analyzed attack vectors and vulnerabilities and proposed a wide variety of security extensions. While these extensions have diverse goals, many of them constitute modifications of the Android operating system and extend its default permission-based access control model. However, they are not generic and only address specific security and privacy concerns.

The goal of this dissertation is to provide generic and extensible system-centric access control architectures, which can serve as a solid foundation for the instantiation of use-case specific security extensions. In doing so, we enable security researchers, enterprise administrators and end users to design, deploy and distribute security extensions without further modification of the underlying operating system. To achieve this goal, we first analyze the mobile device ecosystem and discuss how Android's security architecture aims to address its inherent threats. We proceed to survey related work on Android security, focusing on system-centric security extensions, and derive a set of generic requirements for extensible access control architectures targeting smart mobile devices. We then present two extensible access control architectures, which address these requirements by providing policy-based and programmable interfaces for the instantiation of use-case specific security solutions. By implementing a set of practical use-cases, ranging from context-aware access control, dynamic application behavior analysis to isolation of security domains we demonstrate the advantages of system-centric access control architectures over application-layer approaches. Finally, we conclude this dissertation by discussing an alternative approach, which is based on application-layer deputies and can be deployed whenever practical limitations prohibit the deployment of system-centric solutions.

Typ des Eintrags: Dissertation
Erschienen: 2016
Autor(en): Heuser, Stephan
Art des Eintrags: Erstveröffentlichung
Titel: Towards Modular and Flexible Access Control on Smart Mobile Devices
Sprache: Englisch
Referenten: Sadeghi, Dr. Ahmad ; Asokan, Dr. N.
Publikationsjahr: 2016
Ort: Darmstadt
Datum der mündlichen Prüfung: 29 August 2016
URL / URN: http://tuprints.ulb.tu-darmstadt.de/5663
Kurzbeschreibung (Abstract):

Smart mobile devices, such as smartphones and tablets, have become an integral part of our daily personal and professional lives. These devices are connected to a wide variety of Internet services and host a vast amount of applications, which access, store and process security- and privacy-sensitive data. A rich set of sensors, ranging from microphones and cameras to location and acceleration sensors, allows these applications and their back end services to reason about user behavior. Further, enterprise administrators integrate smart mobile devices into their IT infrastructures to enable comfortable work on the go.

Unsurprisingly, this abundance of available high-quality information has made smart mobile devices an interesting target for attackers, and the number of malicious and privacy-intrusive applications has steadily been rising. Detection and mitigation of such malicious behavior are in focus of mobile security research today. In particular, the Android operating system has received special attention by both academia and industry due to its popularity and open-source character. Related work has scrutinized its security architecture, analyzed attack vectors and vulnerabilities and proposed a wide variety of security extensions. While these extensions have diverse goals, many of them constitute modifications of the Android operating system and extend its default permission-based access control model. However, they are not generic and only address specific security and privacy concerns.

The goal of this dissertation is to provide generic and extensible system-centric access control architectures, which can serve as a solid foundation for the instantiation of use-case specific security extensions. In doing so, we enable security researchers, enterprise administrators and end users to design, deploy and distribute security extensions without further modification of the underlying operating system. To achieve this goal, we first analyze the mobile device ecosystem and discuss how Android's security architecture aims to address its inherent threats. We proceed to survey related work on Android security, focusing on system-centric security extensions, and derive a set of generic requirements for extensible access control architectures targeting smart mobile devices. We then present two extensible access control architectures, which address these requirements by providing policy-based and programmable interfaces for the instantiation of use-case specific security solutions. By implementing a set of practical use-cases, ranging from context-aware access control, dynamic application behavior analysis to isolation of security domains we demonstrate the advantages of system-centric access control architectures over application-layer approaches. Finally, we conclude this dissertation by discussing an alternative approach, which is based on application-layer deputies and can be deployed whenever practical limitations prohibit the deployment of system-centric solutions.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Smartphones und Tablets sind heute zentrale Bestandteile unseres privaten und beruflichen Alltags. Diese Geräte sind in eine Vielzahl von Internetdiensten eingebettet und ermöglichen Anwendungen den Zugriff auf und die Verarbeitung von sicherheits- und datenschutzkritischen Informationen. Eine Vielzahl von Sensoren, angefangen bei Kameras und Mikrofonen bis hin zu Geopositions- und Beschleunigungssensoren, erlauben diesen Anwendungen und den dazugehörigen Internetdiensten tiefe Einblicke in das Nutzerverhalten. In vielen Branchen gelten Smartphones und Tablets zudem als wichtige Arbeitsmittel.

Es ist daher kaum überraschend, dass Smartphones und Tablets heute ein besonders beliebtes Ziel für Angreifer darstellen. Dementsprechend hat die Anzahl von bösartigen und den Datenschutz gefährdenden Anwendungen beständig zugenommen. Das Erkennen und Entschärfen von derartigem bösartigen Verhalten ist heute ein wesentlicher Schwerpunkt der Forschung im Bereich sicherer mobiler Systeme. Dem Betriebssystem Android wird dabei aufgrund seiner Popularität und seines Open-Source Charakters besondere Aufmerksamkeit gewidmet.

Die IT-Sicherheitsforschung hat die Architektur des Betriebssystems, bekannte Angriffsvektoren und Schwachstellen genauestens untersucht und eine Reihe von sinnvollen Sicherheitserweiterungen entwickelt. Trotz der unterschiedlichen Ziele dieser Erweiterungen basieren die meisten von ihnen auf spezifischen Modifikationen des Betriebssystems und seines Zugriffskontrollmodells. Diese Ansätze sind jedoch nicht generischer Natur und decken nur bestimmte Sicherheits- und Datenschutzprobleme ab.

Das Ziel dieser Dissertation ist es, durch die Entwicklung generischer und erweiterbarer Sicherheitsarchitekturen einen soliden Grundstein für spezifische Sicherheitserweiterungen zu legen. Dieser Ansatz erlaubt die Entwicklung und Integration von Sicherheitserweiterungen, ohne das Betriebssystem selbst verändern zu müssen. Um dieses Ziel zu erreichen, analysieren wir zunächst das \emph{digitale Ökosystem} von Smartphones und Tablets und identifizieren dessen inhärente Sicherheitsprobleme. Anschließend beschreiben wir, wie die Sicherheitsarchitektur von Android diese Probleme zu lösen versucht. Weiterhin untersuchen wir bekannte Sicherheitserweiterungen und erstellen auf Basis dieses Wissens eine Anforderungsanalyse für generische und erweiterbare systemzentrische Zugriffskontrollsysteme. Wir entwickeln zwei neuartige Sicherheitsarchitekturen, welche die Umsetzung von spezifischen Zugriffskontrollmodellen mittels Sicherheitspolicies und durch die Bereitstellung einer programmierbaren Schnittstelle ermöglichen. Anhand von vielfältigen Anwendungsfällen aus den Bereichen kontextbasierte Sicherheit, dynamische Verhaltensanalyse von Anwendungen und Isolation von Sicherheitsdomänen beschreiben wir die vielseitigen Vorzüge systemzentrischer und erweiterbarer Sicherheitsarchitekturen. Zuletzt stellen wir einen alternativen Ansatz vor, welcher die Umsetzung von Zugriffskontrollrichtlinien auf Anwendungsebene erlaubt und immer dann verwendet werden kann, wenn praktische Aspekte den Einsatz von systemzentrischen Sicherheitsarchitekturen verwehren.

Deutsch
URN: urn:nbn:de:tuda-tuprints-56631
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik > Systemsicherheit
LOEWE > LOEWE-Zentren > CASED – Center for Advanced Security Research Darmstadt
LOEWE > LOEWE-Zentren
20 Fachbereich Informatik
LOEWE
Hinterlegungsdatum: 16 Okt 2016 19:55
Letzte Änderung: 16 Okt 2016 19:55
PPN:
Referenten: Sadeghi, Dr. Ahmad ; Asokan, Dr. N.
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 29 August 2016
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen