Security Issues of Mobile and Smart Wearable Devices

Abstract

Mobile and smart devices (ranging from popular smartphones and tablets to wearable fitness trackers equipped with sensing, computing and networking capabilities) have proliferated lately and redefined the way users carry out their day-to-day activities. These devices bring immense benefits to society and boast improved quality of life for users. As mobile and smart technologies become increasingly ubiquitous, the security of these devices becomes more urgent, and users should take precautions to keep their personal information secure. Privacy has also been called into question as so many of mobile and smart devices collect, process huge quantities of data, and store them on the cloud as a matter of fact. Ensuring confidentiality, integrity, and authenticity of the information is a cybersecurity challenge with no easy solution. Unfortunately, current security controls have not kept pace with the risks posed by mobile and smart devices, and have proven patently insufficient so far. Thwarting attacks is also a thriving research area with a substantial amount of still unsolved problems. The pervasiveness of smart devices, the growing attack vectors, and the current lack of security call for an effective and efficient way of protecting mobile and smart devices. This thesis deals with the security problems of mobile and smart devices, providing specific methods for improving current security solutions. Our contributions are grouped into two related areas which present natural intersections and corresponds to the two central parts of this document: (1) Tackling Mobile Malware, and (2) Security Analysis on Wearable and Smart Devices. In the first part of this thesis, we study methods and techniques to assist security analysts to tackle mobile malware and automate the identification of malicious applications. We provide threefold contributions in tackling mobile malware: First, we introduce a Secure Message Delivery (SMD) protocol for Device-to-Device (D2D) networks, with primary objective of choosing the most secure path to deliver a message from a sender to a destination in a multi-hop D2D network. Second, we illustrate a survey to investigate concrete and relevant questions concerning Android code obfuscation and protection techniques, where the purpose is to review code obfuscation and code protection practices. We evaluate efficacy of existing code de-obfuscation tools to tackle obfuscated Android malware (which provide attackers with the ability to evade detection mechanisms). Finally, we propose a Machine Learning-based detection framework to hunt malicious Android apps by introducing a system to detect and classify newly-discovered malware through analyzing applications. The proposed system classifies different types of malware from each other and helps to better understanding how malware can infect devices, the threat level they pose and how to protect against them. Our designed system leverages more complete coverage of apps’ behavioral characteristics than the state-of-the-art, integrates the most performant classifier, and utilizes the robustness of extracted features. The second part of this dissertation conducts an in-depth security analysis of the most popular wearable fitness trackers on the market. Our contributions are grouped into four central parts in this domain: First, we analyze the primitives governing the communication between fitness tracker and cloud-based services. In addition, we investigate communication requirements in this setting such as: (i) Data Confidentiality, (ii) Data Integrity, and (iii) Data Authenticity. Second, we show real-world demos on how modern wearable devices are vulnerable to false data injection attacks. Also, we document successful injection of falsified data to cloud-based services that appears legitimate to the cloud to obtain personal benefits. Third, we circumvent End-to-End protocol encryption implemented in the most advanced and secure fitness trackers (e.g., Fitbit, as the market leader) through Hardware-based reverse engineering. Last but not least, we provide guidelines for avoiding similar vulnerabilities in future system designs.I dispositivi mobili e intelligenti (dai popolari smartphone e tablet ai braccialetti per il fitness indossabili dotati di capacita' di rilevamento, elaborazione e connessione Internet) si sono recentemente diffusi e hanno ridefinito il modo in cui gli utenti svolgono le loro attivita' quotidiane. Questi dispositivi introducono enormi benefici nella societa' e portano a un miglioramento della qualita' della vita degli utenti. Man mano che le tecnologie mobili e intelligenti diventano sempre piu' diffuse, la sicurezza di questi dispositivi diventa pero' piu' urgente e gli utenti devono prendere precauzioni per mantenere le loro informazioni personali al sicuro. Anche la privacy e' stata presa in considerazione dal momento che cosi' tanti dispositivi mobili e intelligenti raccolgono, elaborano e memorizzano sul cloud enormi quantita' di dati. Garantire la riservatezza, l'integrita' e l'autenticita' delle informazioni e' una sfida nell'ambito della sicurezza informatica di non facile soluzione. Sfortunatamente, gli attuali controlli di sicurezza non hanno mantenuto il passo con i rischi introdotti dai dispositivi mobili e intelligenti, e si sono finora rivelati chiaramente insufficienti. Inoltre, la prevenzione di attacchi e' di per se' un'area di ricerca in crescita, ma con una notevole quantita' di problemi ancora irrisolti. La pervasivita' dei dispositivi intelligenti, il crescente numero di vettori di attacco e l'attuale mancanza di sicurezza richiedono un modo efficace ed efficiente di proteggere i dispositivi mobili e intelligenti. Questa tesi affronta i problemi di sicurezza dei dispositivi mobili e intelligenti, fornendo metodi specifici per migliorare le attuali soluzioni di sicurezza. I nostri contributi si raggruppano in due aree correlate, che presentano naturali sovrapposizioni e corrispondono alle due componenti centrali di questo documento: (1) il confronto con i malware mobile e (2) l'analisi della sicurezza per dispositivi indossabili e intelligenti. Nella prima parte di questa tesi, si affrontano metodi e tecniche per aiutare gli analisti della sicurezza ad affrontare i malware mobile e ad automatizzare l'identificazione di applicazioni dannose. Nell'ambito dei malware mobile, forniamo tre contributi. Per prima cosa, introduciamo un protocollo Secure Message Delivery (SMD) per reti Device-to-Device (D2D), con l'obiettivo principale di individuare il percorso piu' sicuro per inviare un messaggio dal mittente al destinatario in una rete D2D multi-hop. In secondo luogo, presentiamo un'indagine condotta col fine di indagare i problemi concreti e rilevanti che riguardano le tecniche di offuscamento e protezione del codice Android, indagine il cui scopo e' esaminare le pratiche di offuscamento e di protezione del codice. Valutiamo l'efficacia degli strumenti di de-offuscamento del codice esistenti per confrontarci con i malware Android offuscati (quelli che permettono agli hacker di sfuggire ai meccanismi di rilevamento). Infine, proponiamo un framework di rilevamento basato sul Machine Learning, che identifica le applicazioni Android maligne attraverso l'introduzione di un sistema per il rilevamento e la classificazione dei malware piu' recentemente scoperti mediante analisi delle applicazioni. Il sistema proposto classifica i malware in differenti tipi e aiuta a capire meglio come i malware possano infettare i dispositivi, il livello di minaccia che rappresentano e come ci si possa proteggere da essi. Il sistema progettato sfrutta in maniera piu' completa le caratteristiche comportamentali delle app rispetto allo stato dell'arte, integra il classificatore piu' performante e utilizza la robustezza delle funzionalita' individuate. La seconda parte di questa tesi illustra un'analisi approfondita degli aspetti di sicurezza per i braccialetti per il fitness indossabili piu' popolari sul mercato. I nostri contributi si raggruppano in quattro parti all'interno di questo contesto: come primo contributo, analizziamo le primitive che regolano la comunicazione tra i braccialetti per il fitness e i servizi sul cloud. Successivamente, esaminiamo i requisiti di comunicazione di questo contesto, quali: (i) Riservatezza dei dati, (ii) Integrita' dei dati e (iii) Autenticita' dei dati. Come secondo contributo, presentiamo delle reali dimostrazioni su come i moderni dispositivi indossabili siano vulnerabili agli attacchi di false data injection. Inoltre, documentiamo il successo di un'injection di dati falsificati all'interno servizi basati su cloud, dati che vengono considerati legittimi dal cloud e permettono di ottenere vantaggi personali. Come terzo contributo, aggiriamo la crittografia del protocollo End-to-End implementato nei piu' avanzati e sicuri braccialetti per il fitness (ad esempio, Fitbit, che e' il leader del mercato) attraverso il reverse engineering dell'hardware. Ultimo ma non meno importante, forniamo linee guida per prevenire vulnerabilita' simili nelle future progettazioni di sistemi