論文の概要: Automatically Detecting Checked-In Secrets in Android Apps: How Far Are We?

• arxiv url: http://arxiv.org/abs/2412.10922v1
• Date: Sat, 14 Dec 2024 18:14:25 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-17 14:02:17.619333
• Title: Automatically Detecting Checked-In Secrets in Android Apps: How Far Are We?
• Title（参考訳）: Androidアプリからチェックインの秘密を自動的に検出する: どこまで?
• Authors: Kevin Li, Lin Ling, Jinqiu Yang, Lili Wei,
• Abstract要約: 開発者はしばしば、そのようなシークレットの適切なストレージを見落とし、プロジェクトに直接配置することを選択します。 チェックインされたシークレットがプロジェクトにチェックインされ、悪意のある敵によって簡単に抽出され、悪用される。 オープンソースプロジェクトとは異なり、ソースコードへの直接アクセスの欠如と難読化の存在は、Androidアプリのチェックインシークレット検出を複雑にする。
• 参考スコア（独自算出の注目度）: 4.619114660081147
• License:
• Abstract: Mobile apps are predominantly integrated with cloud services to benefit from enhanced functionalities. Adopting authentication using secrets such as API keys is crucial to ensure secure mobile-cloud interactions. However, developers often overlook the proper storage of such secrets, opting to put them directly into their projects. These secrets are checked into the projects and can be easily extracted and exploited by malicious adversaries. While many researchers investigated the issue of checked-in secret in open-source projects, there is a notable research gap concerning checked-in secrets in Android apps deployed on platforms such as Google Play Store. Unlike open-source projects, the lack of direct access to the source code and the presence of obfuscation complicates the checked-in secret detection for Android apps. This motivates us to conduct an empirical analysis to measure and compare the performance of different checked-in secret detection tools on Android apps. We first conducted a literature review to find all the checked-in secret detection tools that can be applied to Android apps. Then, we evaluate three representative tools on 5,135 Android apps, comparing their performance and analyzing their limitations. Our experiment reveals 2,142 checked-in secrets affecting 2,115 Android apps. We also disclose that the current checked-in secret detection techniques suffer from key limitations. All of the evaluated tools can miss a significant number of checked-in secrets in Android apps. Nevertheless, we observed that the tools are complimentary, suggesting the possibility of developing a more effective checked-in secret detection tool by combining their insights. Additionally, we propose that analyzing string groups within methods containing checked-in secrets may provide a more effective strategy to overcome obfuscation challenges.
• Abstract（参考訳）: モバイルアプリは、機能強化の恩恵を受けるために、主にクラウドサービスと統合されている。 APIキーなどのシークレットを使用した認証の採用は,モバイルとクラウドのセキュアなインタラクションを保証する上で不可欠だ。 しかし、開発者はしばしばそのようなシークレットの適切なストレージを見落とし、プロジェクトに直接配置することを選択します。 これらのシークレットはプロジェクトにチェックインされ、悪意のある敵によって簡単に抽出され、悪用される。 多くの研究者がオープンソースプロジェクトにおけるチェックインシークレットの問題を調査しているが、Google Play StoreのようなプラットフォームにデプロイされたAndroidアプリのチェックインシークレットに関する注目すべき研究ギャップがある。 オープンソースプロジェクトとは異なり、ソースコードへの直接アクセスの欠如と難読化の存在は、Androidアプリのチェックインシークレット検出を複雑にする。 これにより、Androidアプリ上でのさまざまなチェックインシークレット検出ツールのパフォーマンスを計測し、比較するための経験的分析を行うことができます。 最初に文献レビューを行い、Androidアプリに適用可能なすべてのチェックインされたシークレット検出ツールを見つけました。 次に,5,135個のAndroidアプリの代表的なツールを3つ評価し,その性能を比較し,その限界を分析した。 当社の実験では,2,1115のAndroidアプリに影響を与える,2,142のチェックインシークレットが明らかになった。 また、現在チェックインされているシークレット検出技術が鍵となる制限を負っていることも明らかにした。 評価されたツールはすべて、Androidアプリのかなりの数のチェックインシークレットを見逃す可能性がある。 いずれにせよ,これらのツールは補完的であり,これらの知見を組み合わせることで,より効果的なチェックイン秘密検出ツールを開発する可能性が示唆された。 さらに,チェックインシークレットを含むメソッド内の文字列群を解析することで,難読化を克服するためのより効果的な戦略が提案される。

関連論文リスト

• Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
  本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。 ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。 本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
  論文  参考訳（メタデータ） (2024-10-31T06:14:17Z)
• Detecting Android Malware by Visualizing App Behaviors from Multiple Complementary Views [28.69137642535078]
  我々は,複数の相補的なビューからアプリの動作を可視化することで,Androidマルウェアを検出する新しい手法であるLensDroidを提案し,実装する。 私たちのゴールは、ディープラーニングとソフトウェアビジュアライゼーションを組み合わせたパワーを活用して、本質的にリンクされていない高レベルの機能を自動的にキャプチャし、集約することにあります。
  論文  参考訳（メタデータ） (2024-10-08T16:00:27Z)
• A Large-Scale Privacy Assessment of Android Third-Party SDKs [17.245330733308375]
  サードパーティのソフトウェア開発キット(SDK)は、Androidアプリ開発で広く採用されている。 この利便性は、ユーザのプライバシに敏感な情報への不正アクセスに関するかなりの懸念を引き起こす。 当社の研究では,AndroidサードパーティSDK間のユーザプライバシ保護を対象とする分析を行っている。
  論文  参考訳（メタデータ） (2024-09-16T15:44:43Z)
• AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts [4.778835435164734]
  AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
  論文  参考訳（メタデータ） (2024-03-28T00:24:49Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• SalienDet: A Saliency-based Feature Enhancement Algorithm for Object Detection for Autonomous Driving [160.57870373052577]
  未知の物体を検出するために,サリエンデット法(SalienDet)を提案する。 我々のSaienDetは、オブジェクトの提案生成のための画像機能を強化するために、サリエンシに基づくアルゴリズムを利用している。 オープンワールド検出を実現するためのトレーニングサンプルセットにおいて、未知のオブジェクトをすべてのオブジェクトと区別するためのデータセットレザベリングアプローチを設計する。
  論文  参考訳（メタデータ） (2023-05-11T16:19:44Z)
• Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
  我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。 バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。 具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
  論文  参考訳（メタデータ） (2022-08-04T05:32:20Z)
• SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
  アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。 自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。 本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
  論文  参考訳（メタデータ） (2022-03-29T02:56:40Z)
• Analysis of Longitudinal Changes in Privacy Behavior of Android Applications [79.71330613821037]
  本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。 HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。 アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
  論文  参考訳（メタデータ） (2021-12-28T16:21:31Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)
• Efficient Intent Detection with Dual Sentence Encoders [53.16532285820849]
  本稿では,USE や ConveRT などの事前訓練された二重文エンコーダによるインテント検出手法を提案する。 提案するインテント検出器の有用性と適用性を示し,完全なBERT-Largeモデルに基づくインテント検出器よりも優れた性能を示す。 コードだけでなく、新しい挑戦的な単一ドメイン意図検出データセットもリリースしています。
  論文  参考訳（メタデータ） (2020-03-10T15:33:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。