Dissertação

HCE Mobile Ticketing: Providing Security for Mobile Ticketing Applications Backed by TrustZone EVALUATED

Dispositivos móveis são ubíquos e uma parte central do dia-a-dia. Esta ubiquidade levou a que Operadores de Transportes Públicos desenvolvessem soluções de bilhética que tirassem proveito das capacidades destes dispositivos, alinhado com o crescimento em popularidade e normalização da tecnologia de NFC. Contudo, soluções de bilhética móvel estão sujeitas a serem comprometidas se existir um atacante capaz de controlar o sistema operativo. Embora existam soluções baseadas numa ligação à rede permanente, em certos cenários, é necessário desenvolver uma solução que permita que os cartões virtuais possam estar protegidos no dispositivo enquanto (1) é usada a interface NFC apenas para comunicar com os validadores de bilhetes, e (2) necessitando de um nível de confiança mínimo no sistema operativo. Esta tese pretende fornecer tal solução ao aproveitar os benefícios de ARM TrustZone para o armazenamento de cartões virtuais e execução das transações críticas de aplicações de bilhética móvel. Propomos o DBStore, um sistema de gestão de bases de dados baseado em SQL que permite o armazenamento seguro de cartões virtuais em bases de dados apoiadas por ARM TrustZone. Embora o DBStore tenha sido desenolvido com o foco numa aplicação real de HCE Mobile Ticketing e as vulnerabilidades que esta apresenta, a sua aplicabilidade é mais vasta e pode ser utilizado por qualquer aplicação que necessite de armazenamento seguro de dados sensíveis. Implementámos protótipos com o objectivo de serem executados em hardware TrustZone real e a nossa avaliação mostra que o desempenho da solução induz em penalizações reduzidas sobre a aplicação.
Ambientes de Execução Segura, ARM TrustZone, Segurança, Aplicações Android, Bilhética Móvel

Novembro 13, 2018, 9:0

Documentos da dissertação ainda não disponíveis publicamente

Orientação

ORIENTADOR

Nuno Miguel Carvalho dos Santos

Departamento de Engenharia Informática (DEI)

Professor Auxiliar