論文の概要: Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets
- arxiv url: http://arxiv.org/abs/2412.06556v1
- Date: Mon, 09 Dec 2024 15:04:50 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-10 14:52:10.527120
- Title: Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets
- Title(参考訳): Androidスマートフォンチップの脆弱性管理に関する調査研究
- Authors: Daniel Klischies, Philipp Mackensen, Veelasha Moonsamy,
- Abstract要約: 本稿は,Androidエコシステムにおけるスマートフォンチップセットの脆弱性管理の現状に関する実証的研究である。
我々は、主要な4つのチップセットメーカーの437のチップセットモデルと6,866のスマートフォンモデルに影響を及ぼす3,676個のチップセットの脆弱性の統一された知識ベースを作成します。
単一の脆弱性が数百から数千の異なるスマートフォンモデルに影響を与えることがよくあります。
- 参考スコア(独自算出の注目度): 2.1959918957023743
- License:
- Abstract: Vulnerabilities in Android smartphone chipsets have severe consequences, as recent real-world attacks have demonstrated that adversaries can leverage vulnerabilities to execute arbitrary code or exfiltrate confidential information. Despite the far-reaching impact of such attacks, the lifecycle of chipset vulnerabilities has yet to be investigated, with existing papers primarily investigating vulnerabilities in the Android operating system. This paper provides a comprehensive and empirical study of the current state of smartphone chipset vulnerability management within the Android ecosystem. For the first time, we create a unified knowledge base of 3,676 chipset vulnerabilities affecting 437 chipset models from all four major chipset manufacturers, combined with 6,866 smartphone models. Our analysis revealed that the same vulnerabilities are often included in multiple generations of chipsets, providing novel empirical evidence that vulnerabilities are inherited through multiple chipset generations. Furthermore, we demonstrate that the commonly accepted 90-day responsible vulnerability disclosure period is seldom adhered to. We find that a single vulnerability often affects hundreds to thousands of different smartphone models, for which update availability is, as we show, often unclear or heavily delayed. Leveraging the new insights gained from our empirical analysis, we recommend several changes that chipset manufacturers can implement to improve the security posture of their products. At the same time, our knowledge base enables academic researchers to conduct more representative evaluations of smartphone chipsets, accurately assess the impact of vulnerabilities they discover, and identify avenues for future research.
- Abstract(参考訳): 最近の実世界の攻撃は、敵が脆弱性を利用して任意のコードを実行したり、機密情報を流出させたりすることを実証している。
このような攻撃が及ぼした影響にもかかわらず、チップセット脆弱性のライフサイクルはまだ調査されておらず、既存の論文は主にAndroidオペレーティングシステムの脆弱性を調査している。
本稿では,Androidエコシステムにおけるスマートフォンチップセットの脆弱性管理の現状について,包括的かつ実証的研究を行う。
4つの主要チップセットメーカーの437のチップセットモデルと6,866のスマートフォンモデルに影響を及ぼす3,676個のチップセットの脆弱性の統一された知識ベースを初めて作りました。
分析の結果、同じ脆弱性が複数の世代のチップセットに含まれていることが判明し、複数のチップセット世代を通じて脆弱性が継承されるという新たな実証的証拠が得られた。
さらに、一般的に受け入れられている90日間の責任のある脆弱性開示期間が固執されることは滅多にないことを示す。
単一の脆弱性が数百から数千の異なるスマートフォンモデルに影響を与えることがよくあります。
経験的分析から得られた新たな洞察を活用して、チップセットメーカーが製品のセキュリティ姿勢を改善するために実装できるいくつかの変更を推奨します。
同時に、我々の知識基盤は、研究者がスマートフォンチップセットのより代表的な評価を行い、発見する脆弱性の影響を正確に評価し、将来の研究の道筋を特定することを可能にする。
関連論文リスト
- Layer-Level Self-Exposure and Patch: Affirmative Token Mitigation for Jailbreak Attack Defense [55.77152277982117]
私たちは、jailbreak攻撃から防御するために設計された方法であるLayer-AdvPatcherを紹介します。
私たちは、自己拡張データセットを通じて、大規模言語モデル内の特定のレイヤにパッチを適用するために、未学習の戦略を使用します。
我々の枠組みは、脱獄攻撃の有害性と攻撃の成功率を減らす。
論文 参考訳(メタデータ) (2025-01-05T19:06:03Z) - There are More Fish in the Sea: Automated Vulnerability Repair via Binary Templates [4.907610470063863]
本稿では,Javaバイナリに対するテンプレートベースの自動脆弱性修復手法を提案する。
Vul4Jデータセットの実験では、TemVURが11の脆弱性の修正に成功した。
TemVURの一般化性を評価するため、MaryVuls4Jデータセットをキュレートする。
論文 参考訳(メタデータ) (2024-11-27T06:59:45Z) - SecCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [47.11178028457252]
我々はGenAIのリスクをコードする統合的かつ包括的な評価プラットフォームSecCodePLTを開発した。
安全でないコードには、専門家と自動生成を組み合わせたデータ生成のための新しい方法論を導入する。
サイバー攻撃支援のために、我々はモデルに実際の攻撃を引き起こすよう促すサンプルと、我々の環境における動的な指標を構築した。
論文 参考訳(メタデータ) (2024-10-14T21:17:22Z) - Static Detection of Filesystem Vulnerabilities in Android Systems [18.472695251551176]
本稿では,静的プログラム解析とアクセス制御ポリシ解析を組み合わせることで,従来の手法の限界を克服するPathSentinelを提案する。
PathSentinelは、プログラムとアクセス制御ポリシーを統一することにより、攻撃面を正確に識別し、多くの非現実的な攻撃を発生させる。
脆弱性検証の合理化のため、PathSentinelは大規模言語モデル(LLM)を活用して、ターゲットとするエクスプロイトコードを生成する。
論文 参考訳(メタデータ) (2024-07-15T23:10:52Z) - A Risk Estimation Study of Native Code Vulnerabilities in Android Applications [1.6078134198754157]
我々は,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。
多くのアプリケーションには、誤信が潜在的に悪用する可能性のある、よく知られた脆弱性が含まれていることが示されています。
論文 参考訳(メタデータ) (2024-06-04T06:44:07Z) - REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。
脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。
大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
論文 参考訳(メタデータ) (2023-09-15T02:50:08Z) - When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。
我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。
コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
論文 参考訳(メタデータ) (2023-06-09T14:33:26Z) - Transformer-based Vulnerability Detection in Code at EditTime:
Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。
美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
論文 参考訳(メタデータ) (2023-05-23T01:21:55Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - A Non-Intrusive Machine Learning Solution for Malware Detection and Data
Theft Classification in Smartphones [0.06999740786886537]
モバイルマルウェア攻撃に成功すれば、ユーザーの位置情報、写真、銀行情報さえ盗むことができる。
スマートフォンのマルウェア侵入を検出するだけでなく、盗まれたデータを識別して評価し、回復を助け、将来の攻撃を防ぐ必要があります。
マルウェアの侵入を検出するだけでなく、監視対象のアプリで盗まれたデータの種類を特定するために、アクセス可能な非侵入型機械学習ソリューションを提案します。
論文 参考訳(メタデータ) (2021-02-12T13:31:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。