Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security of Kiwi

Avatar for domitry domitry
August 18, 2013
Programming
0
530

Security of Kiwi

Slide for SecurityCamp2013

Avatar for domitry

domitry

August 18, 2013
Tweet

More Decks by domitry

See All by domitry
Topics about SciRuby @dcmodel/davis tutorial, Kobe
Avatar for domitry domitry
0
230
The Elements of Statistical Learning 読書会 3.4章
Avatar for domitry domitry
0
310
PCで絵をかこう!
Avatar for domitry domitry
0
580
JavaScript&可視化講習会#1
Avatar for domitry domitry
1
690
精神は物理的に記述できるか
Avatar for domitry domitry
0
160
RubyとFortranの話
Avatar for domitry domitry
0
370
Nyaplot - a data visualization tool for Ruby
Avatar for domitry domitry
3
730
Nyaplotの紹介@U-22プロコン
Avatar for domitry domitry
1
200
D3.js入門
Avatar for domitry domitry
0
4.2k

Other Decks in Programming

See All in Programming
コマンドとリード間の連携に対する脅威分析フレームワーク
Avatar for Aja9tochin pandayumi
1
460
AI & Enginnering
Avatar for codelynx codelynx
0
110
【卒業研究】会話ログ分析によるユーザーごとの関心に応じた話題提案手法
Avatar for MomokoShirakawa momok47
0
200
それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策
Avatar for ikechi penpeen
7
3.9k
要求定義・仕様記述・設計・検証の手引き - 理論から学ぶ明確で統一された成果物定義
Avatar for Kuniwak orgachem
PRO
1
140
2026年 エンジニアリング自己学習法
Avatar for yumechi(Motoki Hirao) yumechi
0
140
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
130
CSC307 Lecture 08
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
670
AI によるインシデント初動調査の自動化を行う AI インシデントコマンダーを作った話
Avatar for azukiazusa azukiazusa1
1
740
OCaml 5でモダンな並列プログラミングを Enjoyしよう!
Avatar for Haochen Kotoi-Xie haochenx
0
140
責任感のあるCloudWatchアラームを設計しよう
Avatar for アキキー akihisaikeda
3
180
KIKI_MBSD Cybersecurity Challenges 2025
Avatar for ikema ikema
0
1.3k

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
430
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
190
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
450
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
2
260
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
250
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.4k
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
160
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.3k

Transcript

  1. None

  2. @domitry (どみとり) 普段はロボコンとか

  3.    

  4.  

  5.  

  6. Kiwiのセキュリティ

  7. Kiwiのセキュリティ

  8. スマホ・タブレット向けOSはなぜ堅 牢なのか?

  9. ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止

  10. ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止 汎用OSにすでに一部 実装済み

  11. ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止 汎用OSには ない厳しい 制限

  12. Kiwiでは ASLR,DEPを実装 サンドボックスの実装 シグナルは実装せず バックグラウンド動作を禁止、 タスクには必ずウィンドウを持たせる …ただし未実装!

  13. スパイウェアやいたずら対策を意識 これらは現在汎用OSだけでは対応で きない! 実行中のアプリからのAPI呼び出しを 監視することで対応できないか?

  14. 例えば… mmapシステムコールを大量に呼び出し てswapの処理でシステムをダウン ピクチャやドキュメントフォルダに入っ たファイルを圧縮してサーバーに送信 →同じような引数で大量のAPI呼び出しが 発生するはず

  15. Kiwi mmapを大量にコールしてみる

  16. Kiwi 大量のコールを検知してアプリを停止してくれる

  17. 現在はコール数をカウントして異常な 回数を検知、停止するだけ 引数等を全く考えていない 閾値はヒューリスティックに依存 →将来的には機械学習を取り入れたい

  18. API呼び出しの監視だけでは不十分 ユーザーに頼る場面もある ユーザーが異常事態に対処しやすいよ うにUIをデザインしないといけない →実行状況の可視化

  19. Kiwi デスクトップ画面から…

  20. Kiwi ランチャーとタスク監視を兼ねた画面に遷移

  21. OS自作は楽しいです!!!