Aster: Fixing the Android TEE Ecosystem with Arm CCA

安卓生态系统依赖于TrustZone（例如OP-TEE、QTEE、Trusty）或可信的虚拟化监控程序（pKVM、Gunyah）来隔离安全敏感服务和恶意应用以及安卓漏洞。TrustZone允许任何安全世界代码访问运行安卓的正常世界。同样，可信的虚拟化监控程序可以完全访问在一个VM中运行的安卓和其他VM中的安全服务。在本文中，我们提出了相互隔离的需求，即安卓、虚拟化监控程序和安全世界之间相互隔离。然后，我们提出了一个沙盒化服务抽象，使得沙盒化执行无法访问任何其他沙盒、安卓、虚拟化监控程序或安全世界内存。我们提出了Aster，它实现了这些目标，同时确保沙盒化执行仍然可以安全地与安卓通信以获取输入和提供输出。我们的主要见解是利用Arm机密计算架构（CCA）提供的硬件隔离。然而，由于CCA不能满足我们的沙盒化和相互隔离要求，Aster重新利用其硬件执行来实现其目标，同时解决了安全接口、virtio和中断保护等挑战。我们实现了Aster以证明其可行性并评估其兼容性。我们进行了三个案例研究，其中包括一个目前在安卓手机上部署并使用可信的虚拟化监控程序进行不充分保护的案例，以证明它们可以通过Aster得到保护。

本论文旨在解决Android生态系统中的安全问题，提出了一种相互隔离的解决方案。

论文提出了一种基于Arm Confidential Computing Architecture的解决方案，通过重新定位硬件执行来实现相互隔离，并提出了一种沙盒服务抽象来确保安全。

论文实现了提出的解决方案，通过三个案例研究证明了其可行性和兼容性，并指出了其值得深入研究的方向。

在这个领域中，还有一些相关的研究，如使用TrustZone和trusted hypervisors来隔离安全敏感服务的研究。