Dissertação

{en_GB=HCE Mobile Ticketing: Providing Security for Mobile Ticketing Applications Backed by TrustZone} {} EVALUATED

{pt=Dispositivos móveis são ubíquos e uma parte central do dia-a-dia. Esta ubiquidade levou a que Operadores de Transportes Públicos desenvolvessem soluções de bilhética que tirassem proveito das capacidades destes dispositivos, alinhado com o crescimento em popularidade e normalização da tecnologia de NFC. Contudo, soluções de bilhética móvel estão sujeitas a serem comprometidas se existir um atacante capaz de controlar o sistema operativo. Embora existam soluções baseadas numa ligação à rede permanente, em certos cenários, é necessário desenvolver uma solução que permita que os cartões virtuais possam estar protegidos no dispositivo enquanto (1) é usada a interface NFC apenas para comunicar com os validadores de bilhetes, e (2) necessitando de um nível de confiança mínimo no sistema operativo. Esta tese pretende fornecer tal solução ao aproveitar os benefícios de ARM TrustZone para o armazenamento de cartões virtuais e execução das transações críticas de aplicações de bilhética móvel. Propomos o DBStore, um sistema de gestão de bases de dados baseado em SQL que permite o armazenamento seguro de cartões virtuais em bases de dados apoiadas por ARM TrustZone. Embora o DBStore tenha sido desenolvido com o foco numa aplicação real de HCE Mobile Ticketing e as vulnerabilidades que esta apresenta, a sua aplicabilidade é mais vasta e pode ser utilizado por qualquer aplicação que necessite de armazenamento seguro de dados sensíveis. Implementámos protótipos com o objectivo de serem executados em hardware TrustZone real e a nossa avaliação mostra que o desempenho da solução induz em penalizações reduzidas sobre a aplicação., en=Mobile devices are ubiquitous and are a central part of everyday's life. This ubiquity led Public Transport Operators to develop ticketing solutions that could take advantage of the capabilities of such devices, aligned with the growth in popularity and standardization of the NFC technology. However, mobile ticketing solutions are prone to be exploited if there is a malicious agent that can compromise the operating system. Although there are security solutions based upon permanent network connectivity, in certain settings, it is necessary to develop a solution that allows for virtual cards to be secured on the mobile device while (1) using the NFC interface only to communicate with ticket validators, and (2) requiring minimal trust in the operating system. This thesis aims to deliver such solution by leveraging the benefits of ARM TrustZone for the storage of virtual cards and execution of the critical transactions of mobile ticketing applications. We propose DBStore, an SQL-based management system that allows for the secure storage of virtual cards in databases protected by ARM TrustZone. Although DBStore was developed with the focus on a real application, to be named as HCE Mobile Ticketing, and the vulnerabilities it presents, its applicability is vaster and can be used by any application that requires secure storage of sensitive data. We implemented prototypes aimed at running on real TrustZone hardware and our evaluation shows that the performance of the solution induces small overheads to the application.}
{pt=Ambientes de Execução Segura, ARM TrustZone, Segurança, Aplicações Android, Bilhética Móvel, en=Trusted Execution Environments, ARM TrustZone, Security, Android Applications, Mobile Ticketing}

Novembro 13, 2018, 9:0

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

Nuno Miguel Carvalho dos Santos

Departamento de Engenharia Informática (DEI)

Professor Auxiliar