GoSSIP 論文推薦(2017-06-02)
SoK: Single Sign-On Security – An Evaluation of OpenID Connect
第一篇論文 SoK: Single Sign-On Security – An Evaluation of OpenID Connect 發表在今年的EuroSP上,作者是來自波鴻魯爾大學的Christian Mainka、Vladislav Mladenov、J?rg Schwenk和ecsec GmbH的Tobias Wich。論文總結歸類了SSO協議中的攻擊,並對OpenID Connect的協議和實現安全性進行了分析,提出Identity Provder Confusion 和 Malicous Endpoints Attack這兩種新型攻擊,同時實現了名為PrOfESSOS的SSO評估工具可以對OpenID Connect的實現庫進行測試。現有的SSO協議分析方法普遍都存在某些缺陷,比如形式化分析方法只能發現協議規範的問題,而不能發現協議實現的問題及特定的漏洞;靜態代碼分析只適用於開源實現庫的分析,而非在線網站的SSO實現;動態流量分析是應用最多的分析方法,但是它無法分析IdP和SP伺服器之間的通信。本論文綜合考慮了OpenID Connect協議的特性和現有分析方法的缺陷,提出了一種基於惡意IdP的分析方法,結合規範對協議的不同階段進行安全分析,能夠發現開發者的實現問題以及協議設計時存在的邏輯漏洞。作者基於該方法開發了一個名為PrOfESSOS的原型工具對OpenID Connect規範中引用了的十多種SP實現庫進行了測試,發現其中75%的都存在安全問題。
本論文的作者在EuroSP16上首次提出使用基於惡意IdP的方法分析SSO協議 [Mainka2016]。SSO協議是近年協議安全研究的熱點,在頂級安全會議上有很多相關的論文,比如研究Web平台上SSO協議安全問題的有 [Sun12],[Wang12],[Wang13],[Bai13]等,研究Mobile平台上相關問題的有[Chen14],[Wang15],[Wang16]等。此外,Blackhat16和Blackhat Eu16上關於使用OAuth 2.0劫持mobile app賬號的報告[bh16, bheu16]也引起了廣泛的社會反響。BLE-Guardian: Protecting Privacy of BLE Device Users
第二篇論文 BLE-Guardian: Protecting Privacy of BLE Device Users 發表在2016年的頂級計算機安全會議USENIX Security上。作者是來自密歇根大學的Kassem Fawaz、Kang G. Shin以及Hewlett Packard Labs的Kyu-Han Kim。本篇文章主要分析了應用了BLE協議的設備上隱私保護相關的問題。BLE,即Bluetooth Low Energy,是一種方便IoT設備跟它附近設備交互的技術。BLE規範里有兩種機制來最小化 inventory attack的影響:地址隨機化(address randomization,防追蹤)和白名單(whitelisting,只有預先建立了信任關係的設備才能夠訪問BLE設備)。文章首先分析了這兩個機制的實際配置情況,作者對200多種應用了BLE協議的設備行為進行了分析,發現由於設計或實現的問題,藍牙廣播消息里泄露了大量的信息,這些信息可用於track、profile和fingerprint用戶。此外,一些設備允許沒有建立信任關係的外部連接。現存的保護方案幾乎都要更改協議本身或者BLE設備,這在補丁部署方面有很大困難,本文的作者提出的BLE-Guardian通過只允許授權的客戶端發現、掃描和連接BLE設備來解決上述問題,可以在抵禦inventory attack的同時做到:與設備無關、只使用 商業現成的硬體(Ubertooth One USB dongle)、儘可能少的用戶干預,具有很好的保護效果。
推薦閱讀:
※零知識證明與公鑰密碼體制有何聯繫,是不是公鑰密碼體制本身的簽名就是一種零知識證明?
※漲姿勢 | 看我如何通過汗液解鎖智能設備?
※為什麼這麼多商業Android開發者不混淆代碼?
※如何在IE/Edge瀏覽器中巧妙地傳輸HTA文件?
TAG:信息安全 |