该论文针对远程部署的低成本微控制器单元（MCU）的安全审计问题展开研究。MCU因其低功耗和高能效，越来越多地被用于关键任务场景，但其固有的安全漏洞使其易受攻击。控制流证明（CFA）是一种远程检测攻击的技术，通过记录任务执行期间的所有控制流转移（CFLog），使验证者（Vrf）能够检测到非法改变软件或运行时行为的攻击。然而，现有的CFA技术无法确保当证明者（Prv）被攻陷时，Vrf仍能接收到CFLog，因为攻陷后的Prv可以忽略CFA请求，从而阻止Vrf进行漏洞分析。为此，本文提出了两种运行时审计架构，旨在确保运行时证据的可靠交付，使Vrf能够对检测到的入侵进行修复。第一种方法采用硬件-软件协同设计，通过修改硬件或固件来保证证据传输；第二种方法利用可信执行环境（TEE）在无需硬件修改的情况下提供相同的保证。未来工作将聚焦于应用特定的存储/延迟优化以及运行时证据的自动化漏洞分析。该研究对于保障物联网设备、工业控制系统等嵌入式系统的安全远程验证具有重要价值。

该论文提出 MyTEE，一种在嵌入式设备上构建可信执行环境（TEE）的方案，其核心假设是大部分 ARM TrustZone 硬件扩展（如 TZASC、TZMA、TZPC、IOMMU）均不可用。为克服缺乏硬件内存隔离、DMA 防护和安全 IO 通道的问题，MyTEE 采用以下关键技术：1）内存隔离：利用 stage-2 页表（扩展页表）将 TEE 与非可信的操作系统（REE）隔离，并确保 hypervisor 自身的页表不映射 TEE 且不可修改，以防止特权提升攻击。2）DMA 防护：实现一个 DMA 过滤器，该过滤器拦截、验证并模拟所有对 DMA 控制器的内存映射 IO（MMIO）访问，从而阻止恶意 DMA 攻击。3）安全 IO：将设备驱动的大部分逻辑保留在非可信 OS 中，仅将外围设备输出缓冲区和控制器 MMIO 区域通过 stage-2 页表保护，同时将设备驱动的部分代码块提升至 hypervisor 权限，使其能访问受保护对象并记录事务日志，供后续可信应用（TA）验证。这种方式避免了在 TEE 内完整移植设备驱动所带来的新攻击面。MyTEE 的原型在树莓派 3 开发板（基于 Broadcom BCM2837 SoC，不支持 TrustZone 扩展）上实现，并成功演示了与硬件 TPM、帧缓冲和 USB 键盘的安全 IO 通信。实验表明，即便在缺乏硬件安全原语的最差环境中，MyTEE 仍能有效提供 TEE 所需的内存隔离、DMA 防护和安全 IO 通道。该工作适合嵌入式安全研究人员、IoT 设备开发者以及关注 TEE 底层机制的工程师阅读。

该论文系统性地研究了多CPU片上系统（SoC）中的安全隔离问题。在嵌入式系统中，集成多个CPU（如ARM Cortex-M4和Cortex-M0）到单个SoC可提升性能并实现任务分离，但传统单CPU安全机制（如内存保护单元MPU）在多CPU场景下的适用性存在隐患。作者识别出四类主要攻击向量：内存访问越界、外设访问控制绕过、CPU间通信漏洞以及协同攻击。这些攻击向量可导致对另一个CPU受保护内存的任意读写，甚至代码执行。特别地，研究指出开源实时操作系统FreeRTOS在多CPU系统中推荐的通信机制本身引入了代码执行漏洞。作者通过实现四种攻击向量验证了理论预测，并发现某一攻击面可危及自定义可信执行环境（TEE）的实施。研究团队已向相关厂商负责任地披露了漏洞，导致安全公告和专有网络栈的修复。该工作为多CPU嵌入式系统的安全设计提供了重要警示。

本文提出了一种名为 IsolatOS 的方法，用于在商用现成实时操作系统（COTS RTOS）中检测 double fetch 漏洞。Double fetch 漏洞是一种经典的内存竞争条件，通常发生在内核两次从用户空间读取相同数据时，期间数据被恶意篡改，导致安全绕过。由于 COTS RTOS（如 FreeRTOS、uC/OS 等）通常采用单一地址空间设计，缺乏内核与用户空间的隔离，传统防护手段难以适用。作者通过重新启用内核隔离（即在现有 RTOS 上添加轻量级的内存保护单元（MPU）支持），实现了对 double fetch 的高效检测。具体方法包括：在 RTOS 启动时配置 MPU 以隔离内核和任务堆栈，并在执行涉及数据拷贝的系统调用时插入检查点，验证两次读取的数据是否一致。实验在多个真实 RTOS 上实施，并利用已知 double fetch 漏洞和合成测试用例进行评估。结果表明，IsolatOS 能够有效检测所有测试的 double fetch 漏洞，且运行时开销极低（平均性能下降小于 5%），同时不需要修改 RTOS 内核的源代码。该工作为 COTS RTOS 的安全加固提供了实用的解决方案，尤其适用于物联网、嵌入式系统等资源受限环境。