論文の概要: Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach
- arxiv url: http://arxiv.org/abs/2310.14137v1
- Date: Sun, 22 Oct 2023 00:08:51 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-25 14:05:29.120904
- Title: Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach
- Title(参考訳): モバイルアプリケーションAPIにおける脆弱性発見 - モジュール型プログラムアプローチ
- Authors: Nate Haris, Kendree Chen, Ann Song, Benjamin Pou,
- Abstract要約: アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Currently, Application Programming Interfaces (APIs) are becoming increasingly popular to facilitate data transfer in a variety of mobile applications. These APIs often process sensitive user information through their endpoints, which are potentially exploitable due to developer misimplementation. In this paper, a custom, modular endpoint vulnerability detection tool was created and implemented to present current statistics on the degree of information leakage in various mobile Android applications. Our endpoint vulnerability detection tool provided an automated approach to API testing, programmatically modifying requests multiple times using specific information attack methods (IAMs) and heuristically analyzing responses for potentially vulnerable endpoints (PVEs). After analysis of API requests in an encompassing range of applications, findings showed that easily exploitable Broken Access Control (BAC) vulnerabilities of varying severity were common in over 50% of applications. These vulnerabilities ranged from small data leakages due to unintended API use, to full disclosure of sensitive user data, including passwords, names, addresses, and SSNs. This investigation aims to demonstrate the necessity of complete API endpoint security within Android applications, as well as provide an open source example of a modular program which developers could use to test for endpoint vulnerabilities.
- Abstract(参考訳): 現在、様々なモバイルアプリケーションでデータ転送を容易にするために、アプリケーションプログラミングインタフェース(API)がますます人気を集めています。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションにおける情報漏洩の度合いに関する統計情報を提供するために,カスタムなモジュール型エンドポイント脆弱性検出ツールを作成し,実装した。
エンドポイントの脆弱性検出ツールは、APIテストの自動アプローチを提供し、特定の情報攻撃方法(IAM)を使用して複数のリクエストをプログラム的に修正し、潜在的に脆弱なエンドポイント(PVE)に対する応答をヒューリスティックに分析する。
さまざまなアプリケーションでAPI要求を分析した結果、さまざまな重大性のBroken Access Control(BAC)脆弱性が、50%以上のアプリケーションで一般的であることが判明した。
これらの脆弱性は、意図しないAPI使用による小さなデータ漏洩から、パスワード、名前、アドレス、SSNを含むセンシティブなユーザデータの完全な開示まで様々である。
この調査は、Androidアプリケーションにおける完全なAPIエンドポイントセキュリティの必要性の実証と、開発者がエンドポイント脆弱性をテストするために使用できるモジュールプログラムのオープンソース例の提供を目的としている。
関連論文リスト
- An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。
タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。
約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
論文 参考訳(メタデータ) (2024-04-04T22:52:41Z) - Object Detectors in the Open Environment: Challenges, Solutions, and Outlook [95.3317059617271]
オープン環境のダイナミックで複雑な性質は、オブジェクト検出器に新しくて恐ろしい挑戦をもたらす。
本稿では,オープン環境におけるオブジェクト検出器の総合的なレビューと解析を行う。
データ/ターゲットの変化の次元に基づいて、4つの四分法(ドメイン外、カテゴリ外、堅牢な学習、漸進的な学習)を含むフレームワークを提案する。
論文 参考訳(メタデータ) (2024-03-24T19:32:39Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。
DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。
DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
論文 参考訳(メタデータ) (2023-07-04T01:34:41Z) - Detecting Misuses of Security APIs: A Systematic Review [5.329280109719902]
セキュリティAPIの誤使用は、ハッカーが悪用できる脆弱性をもたらす可能性がある。
API設計の複雑さ、不十分なドキュメント、不十分なセキュリティトレーニングは、セキュリティAPIを誤用する理由のひとつだ。
弊社のレビューは、セキュリティAPIの誤用を検出する最先端技術に関するオープンな研究課題を強調している。
論文 参考訳(メタデータ) (2023-06-15T05:53:23Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。
本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
論文 参考訳(メタデータ) (2022-12-13T14:28:06Z) - mPSAuth: Privacy-Preserving and Scalable Authentication for Mobile Web
Applications [0.0]
mPSAuthは、ユーザの振る舞いを反映したさまざまなデータソースを継続的に追跡し、現在のユーザが正当である可能性を推定するアプローチである。
我々はmPSAuthが暗号化と通信のオーバーヘッドを低く抑えながら高い精度を提供できることを示した。
論文 参考訳(メタデータ) (2022-10-07T12:49:34Z) - Reinforcement Learning on Encrypted Data [58.39270571778521]
本稿では,DQNエージェントが,離散的かつ連続的な状態空間を持つ環境でどのように動作するかを予備的,実験的に検討する。
その結果,非決定論的暗号が存在する場合でも,エージェントは依然として小さな状態空間で学習することができるが,より複雑な環境では性能が低下することがわかった。
論文 参考訳(メタデータ) (2021-09-16T21:59:37Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z) - SeMA: Extending and Analyzing Storyboards to Develop Secure Android Apps [0.0]
SeMAは、ストーリーボードのような既存のモバイルアプリデザインアーティファクトの上に構築された、モバイルアプリ開発方法論である。
SeMAの有効性を評価することで、Androidアプリで既知の49の脆弱性を検出し、防止することができる。
論文 参考訳(メタデータ) (2020-01-27T20:10:52Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。