論文の概要: Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets

• arxiv url: http://arxiv.org/abs/2412.06556v1
• Date: Mon, 09 Dec 2024 15:04:50 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-10 14:52:10.527120
• Title: Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets
• Title（参考訳）: Androidスマートフォンチップの脆弱性管理に関する調査研究
• Authors: Daniel Klischies, Philipp Mackensen, Veelasha Moonsamy,
• Abstract要約: 本稿は,Androidエコシステムにおけるスマートフォンチップセットの脆弱性管理の現状に関する実証的研究である。 我々は、主要な4つのチップセットメーカーの437のチップセットモデルと6,866のスマートフォンモデルに影響を及ぼす3,676個のチップセットの脆弱性の統一された知識ベースを作成します。 単一の脆弱性が数百から数千の異なるスマートフォンモデルに影響を与えることがよくあります。
• 参考スコア（独自算出の注目度）: 2.1959918957023743
• License:
• Abstract: Vulnerabilities in Android smartphone chipsets have severe consequences, as recent real-world attacks have demonstrated that adversaries can leverage vulnerabilities to execute arbitrary code or exfiltrate confidential information. Despite the far-reaching impact of such attacks, the lifecycle of chipset vulnerabilities has yet to be investigated, with existing papers primarily investigating vulnerabilities in the Android operating system. This paper provides a comprehensive and empirical study of the current state of smartphone chipset vulnerability management within the Android ecosystem. For the first time, we create a unified knowledge base of 3,676 chipset vulnerabilities affecting 437 chipset models from all four major chipset manufacturers, combined with 6,866 smartphone models. Our analysis revealed that the same vulnerabilities are often included in multiple generations of chipsets, providing novel empirical evidence that vulnerabilities are inherited through multiple chipset generations. Furthermore, we demonstrate that the commonly accepted 90-day responsible vulnerability disclosure period is seldom adhered to. We find that a single vulnerability often affects hundreds to thousands of different smartphone models, for which update availability is, as we show, often unclear or heavily delayed. Leveraging the new insights gained from our empirical analysis, we recommend several changes that chipset manufacturers can implement to improve the security posture of their products. At the same time, our knowledge base enables academic researchers to conduct more representative evaluations of smartphone chipsets, accurately assess the impact of vulnerabilities they discover, and identify avenues for future research.
• Abstract（参考訳）: 最近の実世界の攻撃は、敵が脆弱性を利用して任意のコードを実行したり、機密情報を流出させたりすることを実証している。 このような攻撃が及ぼした影響にもかかわらず、チップセット脆弱性のライフサイクルはまだ調査されておらず、既存の論文は主にAndroidオペレーティングシステムの脆弱性を調査している。 本稿では,Androidエコシステムにおけるスマートフォンチップセットの脆弱性管理の現状について,包括的かつ実証的研究を行う。 4つの主要チップセットメーカーの437のチップセットモデルと6,866のスマートフォンモデルに影響を及ぼす3,676個のチップセットの脆弱性の統一された知識ベースを初めて作りました。 分析の結果、同じ脆弱性が複数の世代のチップセットに含まれていることが判明し、複数のチップセット世代を通じて脆弱性が継承されるという新たな実証的証拠が得られた。 さらに、一般的に受け入れられている90日間の責任のある脆弱性開示期間が固執されることは滅多にないことを示す。 単一の脆弱性が数百から数千の異なるスマートフォンモデルに影響を与えることがよくあります。 経験的分析から得られた新たな洞察を活用して、チップセットメーカーが製品のセキュリティ姿勢を改善するために実装できるいくつかの変更を推奨します。 同時に、我々の知識基盤は、研究者がスマートフォンチップセットのより代表的な評価を行い、発見する脆弱性の影響を正確に評価し、将来の研究の道筋を特定することを可能にする。

関連論文リスト

• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• ARVO: Atlas of Reproducible Vulnerabilities for Open Source Software [20.927909014593318]
  オープンソースソフトウェアでは,ARVO:Atlas of Reproducible Vulnerabilitiesを紹介した。 250以上のプロジェクトにわたって5,000以上のメモリ脆弱性を再現しています。 OSS-Fuzzが新たな脆弱性を見つけると、データセットは自動的に更新されます。
  論文  参考訳（メタデータ） (2024-08-04T22:13:14Z)
• Static Detection of Filesystem Vulnerabilities in Android Systems [18.472695251551176]
  本稿では,静的プログラム解析とアクセス制御ポリシ解析を組み合わせることで,従来の手法の限界を克服するPathSentinelを提案する。 PathSentinelは、プログラムとアクセス制御ポリシーを統一することにより、攻撃面を正確に識別し、多くの非現実的な攻撃を発生させる。 脆弱性検証の合理化のため、PathSentinelは大規模言語モデル(LLM)を活用して、ターゲットとするエクスプロイトコードを生成する。
  論文  参考訳（メタデータ） (2024-07-15T23:10:52Z)
• A Risk Estimation Study of Native Code Vulnerabilities in Android Applications [1.6078134198754157]
  我々は,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。 多くのアプリケーションには、誤信が潜在的に悪用する可能性のある、よく知られた脆弱性が含まれていることが示されています。
  論文  参考訳（メタデータ） (2024-06-04T06:44:07Z)
• Privacy Backdoors: Enhancing Membership Inference through Poisoning Pre-trained Models [112.48136829374741]
  本稿では、プライバシーバックドア攻撃という新たな脆弱性を明らかにします。 被害者がバックドアモデルに微調整を行った場合、トレーニングデータは通常のモデルに微調整された場合よりも大幅に高い速度でリークされる。 我々の発見は、機械学習コミュニティにおける重要なプライバシー上の懸念を浮き彫りにし、オープンソースの事前訓練モデルの使用における安全性プロトコルの再評価を求めている。
  論文  参考訳（メタデータ） (2024-04-01T16:50:54Z)
• When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
  我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。 我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。 コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
  論文  参考訳（メタデータ） (2023-06-09T14:33:26Z)
• Transformer-based Vulnerability Detection in Code at EditTime: Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
  脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。 美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
  論文  参考訳（メタデータ） (2023-05-23T01:21:55Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• A Non-Intrusive Machine Learning Solution for Malware Detection and Data Theft Classification in Smartphones [0.06999740786886537]
  モバイルマルウェア攻撃に成功すれば、ユーザーの位置情報、写真、銀行情報さえ盗むことができる。 スマートフォンのマルウェア侵入を検出するだけでなく、盗まれたデータを識別して評価し、回復を助け、将来の攻撃を防ぐ必要があります。 マルウェアの侵入を検出するだけでなく、監視対象のアプリで盗まれたデータの種類を特定するために、アクセス可能な非侵入型機械学習ソリューションを提案します。
  論文  参考訳（メタデータ） (2021-02-12T13:31:27Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。