基于侧信道的安卓用户输入推断

 2022-08-09 09:08

论文总字数:41181字

摘 要

随着硬件设备的不断更新换代,现今的智能手机都配备了高精度的运动传感器,它们能精确的记录手机的微小抖动、偏转。然而,加速度计、陀螺仪等传感器带来的隐私泄露风险并没有得到足够的重视,主流的Android、iOS等移动端操作系统对于应用获取传感器数据的权限要求不高,第三方应用在用户不知情的情况下就可以访问用户的传感器数据,这使得恶意软件可以利用这些传感器侧信道窃取用户的敏感信息,比如锁屏口令、PIN码、各种账号密码等。

我们研究了一种利用加速度计和陀螺仪侧信道信息,结合机器学习技术,对用户输入进行推断的方法。本论文主要介绍了以下内容和工作:

(1)介绍了针对智能手机的侧信道攻击相关技术和发展现状,基于机器学习的侧信道攻击的应用情况;

(2)介绍了利用加速度计和陀螺仪这两个侧信道信息进行用户输入推断的实验方案,具体包括训练数据和测试数据的采集、数据处理和特征提取以及机器学习方法的应用;

(3)通过实验对上述方法进行了评估,发现在数字键盘上推断准确率达到了50%,在QWER键盘上的重复短句输入推断准确率达到了45%。分析了影响推断准确度的因素,发现陀螺仪对推断的贡献比加速度计高;

(4)提出了提高传感器数据权限等级、限制输入时传感器采样速率等防范这种侧信道攻击的措施。

关键词:侧信道攻击,用户输入推断,手机安全,使用运动传感器的按键推断

Abstract

With the continuous upgrading of hardware, today's smart phones are equipped with high precision motion sensors, which can accurately record the tiny wobble and deflection of mobile phones. However, the privacy risks brought by accelerometer and gyroscope did not get enough attention, on mainstream mobile operating systems such as Android and iOS, permissions for applications to access the sensor data is not strict. Third party applications can access the user's sensor data without permission, which makes the malicious software can use motion sensor side channel to steal the user's sensitive information, such as the lock screen password, PIN, all kinds of account password, etc.

We propose a method of inferring user input using accelerometer data and gyroscope data, combined with machine learning technology. This thesis mainly introduces the following contents and work:

(1) The related technology and development status of side channel attacks of smart phones, the application of side channel attack using machine learning method;

(2) Experiment scheme using the accelerometer and gyroscope to infer user input, including the training data and test data acquisition, data processing, feature extraction and the application of machine learning methods;

(3) The experimental performance of this method was analyzed and evaluated, and it was found that the accuracy of inference on the numeric keyboard reached 50%, and the accuracy of inference on repeated short sentences on the QWER keyboard reached 45%. We found that the contribution of gyroscope to the inference accuracy is higher than that of accelerometer;

(4) Measures to mitigate this side channel attack are proposed, such as improving the data permission level of sensors and limiting the sampling rate of sensors when users are typing.

KEY WORDS: Side-Channel Attacks, Input Inference, Smartphone Security, Keystroke Inference using Motion Sensors

目录

摘要 III

Abstract IV

第一章 绪论 1

1.1 研究背景 1

1.2 国内外研究现状 2

1.3 研究内容 3

1.4 本文组织结构 3

第二章 相关技术基础和理论研究 5

2.1 Android相关知识 5

2.1.1 Android权限机制 5

2.1.2 传感器——加速度计和陀螺仪 5

2.2 Weka简介 6

2.2.1 Weka的GUI选择器 7

2.2.2 ARFF数据格式 7

2.3 机器学习相关方法 8

2.4 本章小结 9

第三章 实验具体步骤和实现方法 10

3.1 攻击模型概述 10

3.2 数据采集 11

3.2.1 数据输入方式 11

3.2.2 训练数据采集 12

3.2.3 待推测数据采集 12

3.2.4 Android代码实现数据采集 12

3.3 数据处理和特征提取 15

3.3.1 数据处理 15

3.3.2 特征提取 16

3.3.3 R语言代码实现数据处理和特征提取 16

3.4 点击事件检测 18

3.5 机器学习算法的使用 19

3.6 本章小结 20

第四章 实验结果评估与分析 21

4.1 纯数字键盘输入推断表现 21

4.2 QWER标准键盘输入推断表现 22

4.2.1 随机字母输入 23

4.2.2 重复短句输入 25

4.2.3 顺序字母输入 26

4.3 数据采集方式对推断准确度的影响 27

4.3.1 重力加速度 27

4.3.2 传感器采样速率 28

4.4 数据处理方式对推断准确度的影响 29

4.4.1 插值算法 29

4.4.2 插值数目 31

4.5 加速度计、陀螺仪对推断的贡献比较 35

4.6 防范攻击的方法 38

4.7 本章小结 39

第五章 总结与展望 40

5.1 总结 40

5.2 展望 40

致谢 42

参考文献 43

绪论

研究背景

现今,智能手机越来越成为人们生活中必不可少的部分,智能手机不仅满足了人们的通信需求,在办公娱乐、游戏影音、移动支付、拍照摄像等方面也发挥越来越大的作用。由此,智能手机带来的安全隐患和隐私泄露风险也开始引起了研究人员的注意。

用户的输入信息一直是恶意软件的攻击目标。现在主流的手机操作系统包括Android、iOS对于用户输入信息都有严格的保护措施。Android系统提供了有效的权限机制和沙盒机制保护用户的隐私,对于应用程序而言,权限机制要求它们访问敏感信息时需要向用户申请权限,沙盒机制阻止了恶意程序窃取其他程序的敏感数据。恶意程序只有避开这些安全限制才能实施攻击,由于传感器数据的低权限等级,恶意程序在用户不知情的情况下可以访问传感器数据,这为恶意程序窃取用户隐私提供了一个新的侧信道信息来源。

剩余内容已隐藏,请支付后下载全文,论文总字数:41181字

您需要先支付 80元 才能查看全部内容!立即支付

该课题毕业论文、开题报告、外文翻译、程序设计、图纸设计等资料可联系客服协助查找;