Superymk:TrustDroid
Update Record
-
- 07/19/2011 Add Overview
- 07/20/2011 Add details about LBS in Problem and Background section
- 07/21/2011 Add Threat Model section
- 07/22/2011 Add Investigation Experiments section, Add "关于Anonymous Communication" sub-section
- 07/23/2011 Add Misc部分和实验文档
- 07/24/2011 阅读[LBS 2]和[WSN 2],更新相关文档
- 07/25/2011 阅读[LBS 5],添加“关于Mobile的P2P现状”部分
- 07/26/2011 阅读[MANET 6]
- 07/27/2011 - 07/28/2011 编译android kernel for Defy,编译出zImage文件,未尝试。暂停
- 07/29/2011 调查[Locations] GPS essentials 软件,更新Investigation Experiments部分
Target Conference
-
- HotMobile'12 -- 10月7号
- MobiSys'12 -- 12月
- WOSN
- Infocom
- Mobicom
- ToSN
- Mobihoc
- Sigcom
- Sensys
- ICDCS
Problem
我们只考虑把Physical Identifier(包括Phone number、IMEI、IMSI和ICC-ID[2])和Location信息绑定造成的泄露,(美国这个问题很重要)(当前只研究Location的隐藏)(wifi station的定位)(ip定位,手机定位)
Location-Based Service(LBS)的Privacy问题
-
- LBS Provider有记录人们location的能力,人们可能在不知情的情况下被侵犯privacy。 [LBS 1]
- 记录Location的时候甚至泄露了Physical Identifier。 [LBS 1]
- 用了一定程度的匿名也存在Indirect Privacy Leaks (Side Leaks)问题。即通过统计的方法来识别确定某个人的位置规律。 [LBS 1][WSN 1?]
Background
关于Anonymous Communication
-
- [LBS 2]中的[19]针对email communications做如何untraceable,主要采用统一msg size,重新加密的方法使得adversay不能识别出incoming msg对应哪个outgoing msg,[LBS 2]中的[20]将其extend到voice traffic。
- Onion Routing [LBS 2]中的[21],一个network layer级别的匿名协议,适用于connection-based和connectionless protocols (前者就是TCP的模型,后者是UDP的模型)
- Crowds [LBS 2]中的[12], 主要用于解决individual adversaries,或者是一些compromised routers。通过将网络分为独立的管理域来使得no party has a global netowrk view over all routers.无需加密,该idea可能能用于TrustDroid。基于此的一系列改进包括Anonymizer service [LBS 2]中的[22],Hordes [LBS 2]中的[23]性能更高,Guan et al. [LBS 2]中的[24] 对他们的匿名性提供了形式化分析
广义Mobile Privacy的Background
-
- 前人工作针对未知的第三方service(TaintDroid [1])
- 针对某种Service(比如Location Privacy、VoIP Privacy)从而不通用
- 静态分析方法比如[2],只能知道有很多软件有恶意行为但是难道不用这些软件?
关于Location Based Privacy
-
- Transimission造成的定位:比如GPRS信号塔用于定位
-
- [LBS 5]尝试通过保护signal的方法来在router和wifi device这层保护user的location privacy
关于Mobile的P2P现状
-
- The task of deploying a P2P system in a MANET(Mobile Adhoc network) needs to consider thatthe application layer connections among peers are static and thatthe MANET topology can change frequently due to node mobility. [3]
- 动机:
-
- Mobile Devices的用户可能距离很近,并且他们有共同要请求的服务或者goal。所以他们可能有有价值的信息而临近的人不知道。因此他们需要把这些信息公开给感兴趣的人们
- 缺点:
- Mobile Devices的计算资源受限,比如电池电量可能都被用于为人民服务。
- Mobile Devices在做p2p节点时候,可能正常服务受影响,比如accessing the calendar or making phone calls
- 例子:
- Shark [MANET 1]
- Mobitip [MANET 2]
- SpotMe [MANET 3]
- Socialight [MANET 4]
- AdPass [MANET 5]
- MPP [MANET 6]
-
- 动机:考虑MANET的不稳定性;尽量reuse已有协议;做个匿名LBS
- 缺点:如果提供服务的那一方和user处于不同信号塔下,就可能有问题,未证实
关于LBS的Privacy
-
- LBS的privacy保护主要有两种策略:1.藏住identifier 2.模糊化具体位置(多种请求也是一种表现方式)
- LBS分为两种方式[LBS 1]:
-
- Snapshot Query:就是去google map查一次定位这种服务要求
-
- Anonymous Communication
-
- Mist routing project [WSN 2]
-
- 通过组织路由的方法来使得mobile users的location private from the routers and senders.
- 缺点(或者说跟我们不同的地方):只关注了anonymous communication,而且是WSN这种而不是Mobile(WSN的网络更稳定),TrustDroid要关注LBS server上(即Mist的服务端上)privacy问题。两者解决问题不同
- k-anonymity [LBS 2]
-
- LBS的k-anonymity的定义是:每一个物体的location和其它至少k-1个物体的location不能区分,则这个物体的location是k-anonymity的。location也包括时间概念,即When the subject was present at the location. [LBS 2]
- [LBS 2] 采用proxy server的方案,通过调整时间精度和空间精度实现k-anonymity
-
- Spatial上的k-anonymous[LBS 2]中的[32]
- Temporal cloaking采用等足够的subject到这个地点,在满足k-anonimity的时候再群发request
- 缺点:用了proxy会有单点故障,此外如果user数量不够多,则没办法做K-anonymity
- Region head (每过一定时间elect一个设备管理这个region中所有设备,[WSN 1]中的[Heinzelman et al. 2000]提出,[WSN 1]使用该技术)
- False-Dummies(Wireless Sensor Network中的[WSN 1] 中的[Shao et al. 2008, Yang et al. 2008],以及[WSN 1]引用使用了False Dummies的方法)
- SpaceTwist [LBS 3]
- Private Information Retrieval [LBS 4]
- Continuous Query:需要连续去查LBS,结果形成一条路径(route)
-
- 有些服务不需要立即获得定位信息:
-
- [LBS 1]提出的"Pay-As-You-Drive"保险模型只关注你有没有超速和你去的地方等信息,对此他们只需每个月收集一次情报即可。于是没有必要让手机app把去过的地方和timestamp联系在一起。通过第三方server延后数天(不定期)发送location定位消息到LBS是不影响服务的。
- 缺点:这种model肯定不适用于需要立即连续获得定位信息的service
- 有些服务需要立即获得定位信息:
-
- 如利用手机app做实时GPS导航。
- LBS也可以分为付费/不付费两种方式,后者需要注册而破坏匿名性,但是可以通过将该用户模糊为组成员的方法避免提供过多identity信息[LBS 1]。
Contribution
-
- 利用P2P/Proxy来解决privacy问题,
- 用TaintAnalysis,怎么减通信开销(两个contribution同等重要)第一步解决UDP,第二步解决TCP(最坏情况下退化成一个App Level Proxy,解析语义)
Threat Model
-
- 我们的Threat Model是Honest-but-Curious Server Model [WSN 1],即Service providers can passively collect information during honest runs of the protocol and use it to infer client interests.
Design
需要注意的问题
-
- 应该避免在通信时使用非对称加密,它们需要更多的计算资源 [WSN 1]
- wifi在室外的半径是300 - 1500 feet [LBS 2],经过计算,理想情况下,一辆汽车停留在一个wifi信号范围内的距离为4r/pi,也就是以60mph只能停留4.3 - 21.7s。进入一个wifi网络后,建立连接时间大概需要6秒(因此对于快速移动中subject推荐用GSM,应该会连的更快(需调查)),在此情况下如何实现p2p?
Investigation Experiments
Exp1. 证明有很多程序IMEI和Location是捆绑的
Exp2. 找出IMEI能不能伪造
从对Motorola 3G官网的测试来看,可以任意伪造
Exp3. 调查LBS软件泄露privacy的方式
-
- 软件自身泄露Privacy
-
- GPS essentials 拥有track功能,免费,使用了admob广告lib
-
- track的间隔可设置为1sec到1min不等。track到的数据保存在手机/sdcard/com.mictale.gpsessentials/databases/下,大量信息存在于Waypoints数据库,类型为sqlite3数据库。查表命令:
sqlite Waypoints .schema select * from trackelement;
-
-
-
- 可以配置保存DeviceID和Location在手机内
- 用户可以在Map上显示Track路径,暂未找到证据证明此过程泄露了任何privacy,等待静态分析结果
-
-
-
- 软件使用的lib(如广告lib)泄露Privacy
-
- admob待调查
Q&A
Q1. TaintDroid只要稍微加强下不就可以实现TrustDroid的idea了么?
A1。两者的design goal不同,TaintDroid是用来知道哪些软件有哪些可能“侵犯”Privacy的行为的,具体用不用这些软件由用户随后决定。而TrustDroid是在假设手机上的软件会“侵犯”用户Privacy的情况下,仍然保证这些软件可用而用户的Privacy不受侵害。
(!)Q2。[2]里面提到的Finding 4. The IMEI is tied to personally identifiable information (PII). 如果是这种情况TrustDroid怎么办?换掉IMEI号会登录不上去。
A2. 目前算是我们的Limitation.不过我们要证明1.这种程序(指替换掉IMEI会导致服务不work)很少。所以影响很小
Q3. 如果程序加密IMEI怎么办?
A3。根据[2]中的Finding 1. Phone identifiers are frequently leaked through plaintext requests毙掉。如果真要考虑加密IMEI的话,这种需要对程序进行改动的方法做Privacy保护会留作Future work
Q4. 仅保护IMEI?感觉像是这样
Q5. 如果是社交需要获得你的location,怎么办
A5. 没必要获得IMEI号。这种情况下要求用户注册即可(可获得logical identifier而不是physical identifier)
Q6. IMEI一定要是valid的才能让服务work么?
A6. 对此需要实验数据说明
Q7.如何防止Indirect Privacy Leaks?
Q8. Android激活时或飞信服务,需要IMEI或手机号,TrustDroid怎么办
Q9. IMEI的生成规则怎样?应该有办法基于此伪造,这就直接invalid掉我们的approach
Q10. Proxy不行,如果PC上有坏人怎么办?会同时泄露一群人的privacy
A10. Proxy可以归为TrustDroid的TCB,然后想办法用乱序decouple掉incoming msg 和 outgoing msg的关系。不过[LBS 2]已经基于这个Idea给出实现了
Q11. Location Privacy 与部分LBS服务产生冲突,这个应该否?
A11. 这个属于LBS服务的实现问题,参见[LBS 5]
Plan
Reference
[1] TaintDroid. OSDI'10 (推荐全篇)
[2] A study of Android application security. UsenixSec'11 (推荐 27 Findings)
[3] Manet - P2P wiki. http://ast-deim.urv.cat/wiki/Manet
[LBS 1] Enhancing Customer Privacy for Commercial Continuous Location-Based Services. Mobile Wireless Middleware 2010 (推荐 3.Related Work和4.Privacy-Friendly System Architecture)
[LBS 2] Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking. MobiSys 2003 (推荐related work,基本上把同时代的各个方向的privacy保护方法描述全了)
[LBS 3] SpaceTwist: Managing the Trade-Offs Among Location Privacy, Query Performance, and Query Accuracy in Mobile Services. International Conference on Data Engineering 2008
[LBS 4] Private queries in location based services. SIGMOD'08
[LBS 5] Preserving Location Privacy in Wireless LANs. MobiSys'07 (推荐Related Work和Introduction倒数第二段)
[WSN 1] Query privacy in wireless sensor networks. TOSN'10
[WSN 2] Routing through the mist: Privacy preserving communication in ubiquitous computing environments. ICDCS'02
[MANET 1] T. Schwotzer and K. Geihs, "Shark - a System for Management, Synchronization and Exchange of Knowledge in Mobile User Groups", Journal of Universal Computer Science, 8(6):644-651,2002.
[MANET 2] S. Rudström, M. Svensson, R. Cöster, and K. Höök, "MobiTip: Using Bluetooth as a Mediator of Social Context", UbiComp 2004: Ubiquitous Computing: 6th Interntional Conference.
[MANET 3] Shockfish SA Switzerland, Spotme website.
[MANET 4] Kamida IncNew York, Social light website.
[MANET 5] T. Straub and A. Heinemann, "An Anonymous Bonus Point System For Mobile Commerce Based On Word-Of-Mouth Recommendation" Proceedings of the 2004 ACM Symposium on Applied Computing, New York, 2004.
[MANET 6] Protocol for Peer-to-Peer Networking in Mobile Environments. ICCCN'03
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
