Third-party IME (Input Method Editor) apps are often the preference means of interaction for Android users’ input. In this paper, we first discuss the insecurity of IME apps, including the Potentially Harmful Apps (PHAs) and malicious IME apps, which may leak users’ sensitive keystrokes. The current defense system, such as I-BOX, is vulnerable to the prefix substitution attack and the colluding attack due to the post-IME nature. We provide a deeper understanding that all the designs with the post-IME nature are subject to the prefix-substitution and colluding attacks. To remedy the above post-IME system’s flaws, we propose a new idea, pre-IME, which guarantees that “Is this touch event a sensitive keystroke?” analysis will always access user touch events prior to the execution of any IME app code. We design an innovative TrustZone-based framework named IM-Visor which has the pre-IME nature. Specifically, IM-Visor creates the isolation environment named STIE as soon as a user intends to type on a soft keyboard, then the STIE intercepts,Android event sub translates and analyzes the user’s touch input. If the input is sensitive, the translation of keystrokes will be delivered to user apps through a trusted path. Otherwise, IM-Visor replays non-sensitive keystroke touch events for IME apps or replays non-keystroke touch events for other apps. A prototype of IM-Visor has been implemented and tested with several most popular IMEs. The experimental results show that IM-Visor has small runtime overheads.

中文翻译：

---

使用 IM-Visor 阻止不受信任的 IME 应用程序窃取敏感按键

第三方 IME（输入法编辑器）应用程序通常是 Android 用户输入的首选交互方式。在本文中，我们首先讨论 IME 应用程序的不安全性，包括潜在有害应用程序 (PHA) 和恶意 IME 应用程序，它们可能会泄露用户的敏感按键。目前的防御系统，如 I-BOX，由于后 IME 的性质，容易受到前缀替换攻击和共谋攻击。我们提供了更深入的理解，即所有具有后 IME 性质的设计都受到前缀替换和共谋攻击。为了弥补上述 post-IME 系统的缺陷，我们提出了一个新的想法，pre-IME，它保证“这个触摸事件是一个敏感的按键吗？” 分析将始终在执行任何 IME 应用程序代码之前访问用户触摸事件。我们设计了一个创新的基于 TrustZone 的框架，名为 IM-Visor，它具有前 IME 的性质。具体来说，IM-Visor 会在用户想要在软键盘上输入时创建一个名为 STIE 的隔离环境，然后 STIE 会拦截，Android 事件子会翻译和分析用户的触摸输入。如果输入是敏感的，击键的翻译将通过受信任的路径传递给用户应用程序。否则，IM-Visor 会为 IME 应用程序重放非敏感按键触摸事件或为其他应用程序重放非按键触摸事件。IM-Visor 的原型已经用几个最流行的 IME 实现和测试。实验结果表明，IM-Visor 的运行时开销很小。一旦用户想要在软键盘上打字，IM-Visor 就会创建一个名为 STIE 的隔离环境，然后 STIE 拦截，Android 事件子翻译和分析用户的触摸输入。如果输入是敏感的，击键的翻译将通过受信任的路径传递给用户应用程序。否则，IM-Visor 会为 IME 应用程序重放非敏感按键触摸事件或为其他应用程序重放非按键触摸事件。IM-Visor 的原型已经用几个最流行的 IME 实现和测试。实验结果表明，IM-Visor 的运行时开销很小。一旦用户想要在软键盘上打字，IM-Visor 就会创建一个名为 STIE 的隔离环境，然后 STIE 拦截，Android 事件子翻译和分析用户的触摸输入。如果输入是敏感的，击键的翻译将通过受信任的路径传递给用户应用程序。否则，IM-Visor 会为 IME 应用程序重放非敏感按键触摸事件或为其他应用程序重放非按键触摸事件。IM-Visor 的原型已经用几个最流行的 IME 实现和测试。实验结果表明，IM-Visor 的运行时开销很小。IM-Visor 重播 IME 应用程序的非敏感按键触摸事件或重播其他应用程序的非按键触摸事件。IM-Visor 的原型已经用几个最流行的 IME 实现和测试。实验结果表明，IM-Visor 的运行时开销很小。IM-Visor 重播 IME 应用程序的非敏感按键触摸事件或重播其他应用程序的非按键触摸事件。IM-Visor 的原型已经用几个最流行的 IME 实现和测试。实验结果表明，IM-Visor 的运行时开销很小。