Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security of Kiwi
Search
domitry
August 18, 2013
Programming
0
500
Security of Kiwi
Slide for SecurityCamp2013
domitry
August 18, 2013
Tweet
Share
More Decks by domitry
See All by domitry
Topics about SciRuby @dcmodel/davis tutorial, Kobe
domitry
0
180
The Elements of Statistical Learning 読書会 3.4章
domitry
0
260
PCで絵をかこう!
domitry
0
540
JavaScript&可視化講習会#1
domitry
1
640
精神は物理的に記述できるか
domitry
0
130
RubyとFortranの話
domitry
0
330
Nyaplot - a data visualization tool for Ruby
domitry
3
680
Nyaplotの紹介@U-22プロコン
domitry
1
150
D3.js入門
domitry
0
4.1k
Other Decks in Programming
See All in Programming
Jaspr Dart Web Framework 박제창 @Devfest 2024
itsmedreamwalker
0
140
Итераторы в Go 1.23: зачем они нужны, как использовать, и насколько они быстрые?
lamodatech
0
1.3k
Запуск 1С:УХ в крупном энтерпрайзе: мечта и реальность ПМа
lamodatech
0
920
AppRouterを用いた大規模サービス開発におけるディレクトリ構成の変遷と問題点
eiganken
1
420
GitHub CopilotでTypeScriptの コード生成するワザップ
starfish719
26
5.9k
ESLintプラグインを使用してCDKのセオリーを適用する
yamanashi_ren01
2
120
ドメインイベント増えすぎ問題
h0r15h0
2
550
htmxって知っていますか?次世代のHTML
hiro_ghap1
0
410
Monixと常駐プログラムの勘どころ / Scalaわいわい勉強会 #4
stoneream
0
340
20241217 競争力強化とビジネス価値創出への挑戦:モノタロウのシステムモダナイズ、開発組織の進化と今後の展望
monotaro
PRO
0
250
GitHubで育つ コラボレーション文化 : ニフティでのインナーソース挑戦事例 - 2024-12-16 GitHub Universe 2024 Recap in ZOZO
niftycorp
PRO
0
1.3k
命名をリントする
chiroruxx
1
610
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2.1k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
172
50k
Building Adaptive Systems
keathley
38
2.3k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Become a Pro
speakerdeck
PRO
26
5.1k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Building Your Own Lightsaber
phodgson
104
6.2k
Transcript
None
@domitry (どみとり) 普段はロボコンとか
Kiwiのセキュリティ
Kiwiのセキュリティ
スマホ・タブレット向けOSはなぜ堅 牢なのか?
ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止
ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止 汎用OSにすでに一部 実装済み
ASLR サンドボックス アプリ間通信の禁止 バックグラウンド動作の禁止 非認証アプリの動作の禁止 汎用OSには ない厳しい 制限
Kiwiでは ASLR,DEPを実装 サンドボックスの実装 シグナルは実装せず バックグラウンド動作を禁止、 タスクには必ずウィンドウを持たせる …ただし未実装!
スパイウェアやいたずら対策を意識 これらは現在汎用OSだけでは対応で きない! 実行中のアプリからのAPI呼び出しを 監視することで対応できないか?
例えば… mmapシステムコールを大量に呼び出し てswapの処理でシステムをダウン ピクチャやドキュメントフォルダに入っ たファイルを圧縮してサーバーに送信 →同じような引数で大量のAPI呼び出しが 発生するはず
Kiwi mmapを大量にコールしてみる
Kiwi 大量のコールを検知してアプリを停止してくれる
現在はコール数をカウントして異常な 回数を検知、停止するだけ 引数等を全く考えていない 閾値はヒューリスティックに依存 →将来的には機械学習を取り入れたい
API呼び出しの監視だけでは不十分 ユーザーに頼る場面もある ユーザーが異常事態に対処しやすいよ うにUIをデザインしないといけない →実行状況の可視化
Kiwi デスクトップ画面から…
Kiwi ランチャーとタスク監視を兼ねた画面に遷移
OS自作は楽しいです!!!
domitry
itsmedreamwalker
lamodatech
eiganken
starfish719
yamanashi_ren01
h0r15h0
hiro_ghap1
stoneream
monotaro
niftycorp
chiroruxx
jcasabona
jnunemaker
eileencodes
tammyeverts
paulrobertlloyd
soudai
keathley
yeseniaperezcruz
speakerdeck
hatefulcrawdad
scottboms
phodgson
