UNfuxkable
UNfuxkable_个人页
UNfuxkable
文章
21
问答
0
视频
0
个人介绍
暂无个人介绍
擅长的技术
- 数据安全/隐私保护
- 人工智能
-
发表了文章 2023-07-11
针对空管监控系统的攻击与防御
广播式自动相关监控(ADS-B,Automatic Dependent Surveillance-Broadcast)已被广泛用作空中交通监视的实际标准。航空法规要求所有飞机积极广播包含身份,位置和移动信息的状态报告。但是,由于缺乏安全措施,ADS-B受到了攻击者的网络攻击,目的是干扰空中安全。在本文中开发了一种非侵入式信任评估系统(https://github.com/kai-jansen/ADSB-Trust-Evaluation ),该系统可以使用地面传感器基础设施收集的真实飞行数据来检测对基于ADS-B的空中交通监视的攻击。
-
发表了文章 2023-07-08
基于LTE/5G的新型隐蔽通信方案
这项工作提出了一种新颖的框架,用于识别和利用商业无线技术中易受攻击的 MAC 层程序以进行隐蔽通信。隐蔽通信的示例包括数据泄露、远程命令与控制 (CnC) 和间谍活动。在这个框架中,隐蔽通信方案SPARROW使用现有无线网络的广播能力在不连接的情况下秘密地长距离进行消息中继。这使得 SPARROW方案能够绕过所有安全拦截系统,并在最大匿名性、每瓦多英里数和更少硬件方面获得比现有隐蔽技术更大的优势。 SPARROW方案还可以作为远程 M2M 应用的有效解决方案。本文详细介绍了LTE和5G标准中随机接入过程中最近公开的一个漏洞(CVD-2021-0045)。
-
发表了文章 2023-07-01
手机侧信道窃听攻击
在本文中将重新探讨运动传感器对语音隐私的威胁,并提出了一种新型侧信道攻击AccelEve,它利用智能手机的加速度计来窃听同一智能手机中的扬声器。具体来说,它利用加速度计的测量值来识别扬声器发出的语音并重构相应的音频信号。本研究的设置允许语音信号通过共享母板在加速度计测量中始终产生强大的响应,从而成功解决了第一个局限,并使这种攻击渗透到现实生活中。关于采样率的限制,与普遍认知的相反,在最近的智能手机中观察到高达500Hz的采样率,几乎覆盖了成人语音的整个基本频带(85-255Hz)。
-
发表了文章 2023-06-30
针对语言翻译系统的数据投毒攻击
在本文中展示了基于毒化一小部分并行训练数据的对黑盒 NMT 系统针对性攻击是可行的。表明这种攻击实际上可以通过有针对性地破坏为形成系统训练数据而爬取的网络文档来实现,然后分析了在两种常见 NMT 训练场景中靶向投毒的有效性:from-scratch训练和预训练和微调范式。
-
发表了文章 2023-06-28
针对VR系统的虚拟环境操纵攻击
本研究是首批对消费者沉浸式虚拟现实 (VR) 系统进行安全分析的工作。 本文使用了两种最广泛采用的沉浸式 VR 系统,HTC Vive 和 Oculus Rift。 更具体地说,通过创建可能使用户迷失方向的攻击,在他们不知情的情况下打开他们的头戴式显示器 (HMD) 摄像头,在他们的视野中叠加图像,并修改迫使他们撞击物理对象和墙壁。 最后,通过一项人类参与者欺骗研究来说明能够成功利用 VR 系统来控制沉浸式用户并将他们移动到物理空间中的某个位置而他们不知情,将此称为虚拟环境操纵(Human Joystick)攻击。
-
发表了文章 2023-06-28
单点登录SSO的身份账户不一致漏洞
由于良好的可用性和安全性,单点登录 (SSO) 已被广泛用于在线身份验证。但是,它也引入了单点故障,因为所有服务提供商都完全信任由 SSO 身份提供商创建的用户的身份。在本文中调查了身份帐户不一致威胁,这是一种新的 SSO 漏洞,可导致在线帐户遭到入侵。该漏洞的存在是因为当前的 SSO 系统高度依赖用户的电子邮件地址来绑定具有真实身份的帐户,而忽略了电子邮件地址可能被其他用户重复使用的事实在 SSO 身份验证下,这种不一致允许控制重复使用的电子邮件地址的攻击者在不知道任何凭据(如密码)的情况下接管关联的在线帐户。
-
发表了文章 2023-06-27
Apple AirDrop 的设计缺陷与改进
Apple 的离线文件共享服务 AirDrop 已集成到全球超过 15 亿的终端用户设备中。 本研究发现了底层协议中的两个设计缺陷,这些缺陷允许攻击者了解发送方和接收方设备的电话号码和电子邮件地址。 作为补救,本文研究了隐私保护集合交集(Private Set Intersection)对相互身份验证的适用性,这类似于即时消息程序中的联系人发现。 本文提出了一种新的基于 PSI 的优化协议称为 PrivateDrop,它解决了离线资源受限操作的具体挑战,并集成到当前的 AirDrop 协议栈中。 实验证PrivateDrop保留了AirDrop的用户体验,身份验证延迟远低于一秒。
-
发表了文章 2023-06-25
Apple无线生态系统安全性指南
Apple公司拥有着世界上最大的移动生态系统之一,在全球拥有15亿台有源设备,并提供十二种专有的无线连续性服务。本研究提出了一个指南,指南介绍了如何使用macOS上的多个有利位置对所涉及协议进行结构化分析。本研究发现了从蓝牙低功耗(BLE)到Apple专有的加密协议等多个漏洞。
-
发表了文章 2023-06-25
针对Cookie和GDPR违规的检测工具
欧盟的通用数据保护条例 (GDPR) 要求网站告知用户有关个人数据收集的信息并请求同意其使用 cookie。然而,大多数网站并没有给用户任何选择,还有一些网站试图欺骗他们接受所有的 cookie。本研究通过分析近 3 万个网站的 cookie弹窗中潜在的 GDPR 违规行为来记录这种情况的严重性。
-
发表了文章 2023-06-24
针对QUIC协议的客户端请求伪造
QUIC(Quick UDP Internet Connection)是谷歌制定的一种基于UDP的低时延的互联网传输层协议。随着最近的标准化和各大型科技公司的兴趣日益浓厚,QUIC 协议获得越来越多的关注。 本研究对从QUIC设计中产生的客户端请求伪造攻击进行了初步分析。
暂无更多信息
-
发表了文章
2023-07-12
EVMPatch:自动修补以太坊智能合约
-
发表了文章
2023-07-11
针对空管监控系统的攻击与防御
-
发表了文章
2023-07-08
基于LTE/5G的新型隐蔽通信方案
-
发表了文章
2023-07-08
基于编码注入的对抗性NLP攻击
-
发表了文章
2023-07-03
CPU片上环互联的侧信道攻击
-
发表了文章
2023-07-03
基于3D打印机编译器的信息泄漏攻击
-
发表了文章
2023-07-02
利用隐私法规的漏洞窃取用户身份
-
发表了文章
2023-07-02
大型企业中反钓鱼小组的工作总结
-
发表了文章
2023-07-01
电车充电站管理系统的安全性
-
发表了文章
2023-07-01
手机侧信道窃听攻击
-
发表了文章
2023-06-30
针对Wi-Fi的帧聚合和帧分段漏洞攻击
-
发表了文章
2023-06-30
针对语言翻译系统的数据投毒攻击
-
发表了文章
2023-06-28
针对VR系统的虚拟环境操纵攻击
-
发表了文章
2023-06-28
单点登录SSO的身份账户不一致漏洞
-
发表了文章
2023-06-27
Apple AirDrop 的设计缺陷与改进
-
发表了文章
2023-06-27
针对Node.js生态系统的隐藏属性滥用攻击
-
发表了文章
2023-06-26
从JavaScript发起同步多行Rowhammer攻击
-
发表了文章
2023-06-26
针对恶意软件分类器的可解释性后门投毒
-
发表了文章
2023-06-25
Apple无线生态系统安全性指南
-
发表了文章
2023-06-25
针对Cookie和GDPR违规的检测工具
滑动查看更多
暂无更多信息
暂无更多信息