論文の概要: A Risk Estimation Study of Native Code Vulnerabilities in Android Applications

• arxiv url: http://arxiv.org/abs/2406.02011v1
• Date: Tue, 4 Jun 2024 06:44:07 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-05 17:40:41.967293
• Title: A Risk Estimation Study of Native Code Vulnerabilities in Android Applications
• Title（参考訳）: Androidアプリケーションにおけるネイティブコード脆弱性のリスク推定に関する研究
• Authors: Silvia Lucia Sanna, Diego Soi, Davide Maiorca, Giorgio Fumera, Giorgio Giacinto,
• Abstract要約: 我々は,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。 多くのアプリケーションには、誤信が潜在的に悪用する可能性のある、よく知られた脆弱性が含まれていることが示されています。
• 参考スコア（独自算出の注目度）: 1.6078134198754157
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Android is the most used Operating System worldwide for mobile devices, with hundreds of thousands of apps downloaded daily. Although these apps are primarily written in Java and Kotlin, advanced functionalities such as graphics or cryptography are provided through native C/C++ libraries. These libraries can be affected by common vulnerabilities in C/C++ code (e.g., memory errors such as buffer overflow), through which attackers can read/modify data or execute arbitrary code. The detection and assessment of vulnerabilities in Android native code have only been recently explored by previous research work. In this paper, we propose a fast risk-based approach that provides a risk score related to the native part of an Android application. In this way, before an app is released, the developer can check if the app may contain vulnerabilities in the Native Code and, if present, patch them to publish a more secure application. To this end, we first use fast regular expressions to detect library versions and possible vulnerable functions. Then, we apply scores extracted from a vulnerability database to the analyzed application, thus obtaining a risk score representative of the whole app. We demonstrate the validity of our approach by performing a large-scale analysis on more than $100,000$ applications (but only $40\%$ contained native code) and $15$ popular libraries carrying known vulnerabilities. The attained results show that many applications contain well-known vulnerabilities that miscreants can potentially exploit, posing serious concerns about the security of the whole Android applications landscape.
• Abstract（参考訳）: Androidは世界中のモバイルデバイスで最も使われているオペレーティングシステムであり、毎日何十万ものアプリがダウンロードされている。 これらのアプリは主としてJavaとKotlinで書かれているが、グラフィックや暗号といった高度な機能はネイティブのC/C++ライブラリを通じて提供される。 これらのライブラリは、C/C++コードの一般的な脆弱性(例えば、バッファオーバーフローのようなメモリエラー)に影響され、攻撃者がデータを読み取り、修正したり、任意のコードを実行することができる。 Androidネイティブコードの脆弱性の検出と評価は、最近の研究でのみ行われた。 本稿では,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。 このようにして、アプリがリリースされる前に、開発者は、アプリがネイティブコードに脆弱性を含んでいるかどうかをチェックでき、もし存在するなら、よりセキュアなアプリケーションをパブリッシュするためにパッチをパッチする。 この目的のために、我々はまず高速な正規表現を使用してライブラリのバージョンと脆弱性のある機能を検出する。 次に,脆弱性データベースから抽出したスコアを解析対象アプリケーションに適用し,アプリケーション全体のリスクスコアを求める。 10万ドルあまりのアプリケーション(ネイティブコードを含むのはわずか40$%)と、既知の脆弱性を持つ15ドルの人気ライブラリに対して、大規模な分析を行うことで、このアプローチの有効性を実証する。 得られた結果は、多くのアプリケーションが悪用される可能性のある、よく知られた脆弱性を含んでおり、Androidアプリケーション全体のセキュリティに深刻な懸念を抱いていることを示している。

関連論文リスト

• Assessing the Effectiveness of LLMs in Android Application Vulnerability Analysis [0.0]
  この研究は、最新のOpen Worldwide Application Security Project (OWASP) Mobile Top 10にリストされているAndroidコードの脆弱性を検出する9つの大きな言語モデル(LLM)の能力を比較する。 分析の結果,それぞれのLLMの長所と短所が明らかとなり,その性能に寄与する重要な要因が明らかになった。
  論文  参考訳（メタデータ） (2024-06-27T05:14:34Z)
• JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
  ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。 これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。 JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
  論文  参考訳（メタデータ） (2024-03-28T02:44:02Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
  本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。 既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。 本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
  論文  参考訳（メタデータ） (2023-10-08T10:08:21Z)
• How well does LLM generate security tests? [8.454827764115631]
  開発者は生産性とソフトウェア品質を改善するために、しばしばサードパーティライブラリ(Lib)の上にソフトウェアを構築する。 こうした攻撃をサプライチェーン攻撃と呼び、2022年には742%増加した。 セキュリティテストを生成するためにChatGPT-4.0を使用しました。
  論文  参考訳（メタデータ） (2023-10-01T16:00:58Z)
• Demystifying RCE Vulnerabilities in LLM-Integrated Apps [20.01949990700702]
  大規模言語モデル(LLM)は、様々な下流タスクにおいて顕著なポテンシャルを示している。 一部のフレームワークはリモートコード実行(RCE)脆弱性に悩まされており、アタッカーはプロンプトインジェクションを通じてアプリのサーバ上で任意のコードをリモートで実行できる。 1) LLMSmithと呼ばれる静的解析ベースのツールで,潜在的RCE脆弱性を検出するためにフレームワークのソースコードをスキャンし,2) LLM統合Webアプリの脆弱性を検証するために,プロンプトベースの自動テストアプローチを提案する。
  論文  参考訳（メタデータ） (2023-09-06T11:39:37Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)
• SeMA: Extending and Analyzing Storyboards to Develop Secure Android Apps [0.0]
  SeMAは、ストーリーボードのような既存のモバイルアプリデザインアーティファクトの上に構築された、モバイルアプリ開発方法論である。 SeMAの有効性を評価することで、Androidアプリで既知の49の脆弱性を検出し、防止することができる。
  論文  参考訳（メタデータ） (2020-01-27T20:10:52Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。