論文の概要: From base cases to backdoors: An Empirical Study of Unnatural Crypto-API Misuse

• arxiv url: http://arxiv.org/abs/2510.13102v1
• Date: Wed, 15 Oct 2025 02:45:14 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-16 20:13:28.477841
• Title: From base cases to backdoors: An Empirical Study of Unnatural Crypto-API Misuse
• Title（参考訳）: 基本事例からバックドアへ:不自然な暗号API誤用に関する実証的研究
• Authors: Victor Olaiya, Adwait Nadkarni,
• Abstract要約: 本稿では,不自然な暗号APIの利用を特徴付ける,最初の大規模研究について述べる。 20,508個のAndroidアプリケーションから得られた140,431個の暗号API呼び出しを階層化する。 手動リバースエンジニアリングを用いて,5,704件のサンプル呼び出しを定性的に解析した。
• 参考スコア（独自算出の注目度）: 5.5833263953494665
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Tools focused on cryptographic API misuse often detect the most basic expressions of the vulnerable use, and are unable to detect non-trivial variants. The question of whether tools should be designed to detect such variants can only be answered if we know how developers use and misuse cryptographic APIs in the wild, and in particular, what the unnatural usage of such APIs looks like. This paper presents the first large-scale study that characterizes unnatural crypto-API usage through a qualitative analysis of 5,704 representative API invocations. We develop an intuitive complexity metric to stratify 140,431 crypto-API invocations obtained from 20,508 Android applications, allowing us to sample 5,704 invocations that are representative of all strata, with each stratum consisting of invocations with similar complexity/naturalness. We qualitatively analyze the 5,704 sampled invocations using manual reverse engineering, through an in-depth investigation that involves the development of minimal examples and exploration of native code. Our study results in two detailed taxonomies of unnatural crypto-API misuse, along with 17 key findings that show the presence of highly unusual misuse, evasive code, and the inability of popular tools to reason about even mildly unconventional usage. Our findings lead to four key takeaways that inform future work focused on detecting unnatural crypto-API misuse.
• Abstract（参考訳）: 暗号化APIの誤用に焦点を当てたツールは、しばしば脆弱な使用の最も基本的な表現を検出し、非自明な変種を検出することができない。 このような変種を検出するツールが設計されるべきかどうかという疑問は、開発者が暗号APIを実際にどのように使用して誤用しているかを知っていて、特に、そのようなAPIの不自然な使用がどのようなものかを知る場合にのみ答えられる。 本稿では,5,704件の代表的API呼び出しの質的分析を通じて,不自然な暗号APIの利用を特徴付ける最初の大規模研究について述べる。 20,508のAndroidアプリケーションから得られた140,431の暗号API呼び出しを階層化して,すべてのストラタを表す5,704の呼び出しをサンプリングする。 手動のリバースエンジニアリングを使って5,704件のサンプル呼び出しを質的に分析し、最小限のサンプルの開発とネイティブコードの探索を含む詳細な調査を行った。 本研究は,不自然な暗号API誤用に関する2つの詳細な分類結果と,極めて特異な誤用の有無,回避コードの存在,そして一般的ツールが軽度に不便な使用法を推論できないことを示す17の重要な発見をまとめた。 我々の発見は、不自然な暗号APIの誤用を検出することに焦点を当てた将来の研究を知らせる4つの重要な発見につながった。

関連論文リスト

• Your Fix Is My Exploit: Enabling Comprehensive DL Library API Fuzzing with Large Language Models [49.214291813478695]
  AIアプリケーションで広く使用されているディープラーニング(DL)ライブラリは、オーバーフローやバッファフリーエラーなどの脆弱性を含むことが多い。 従来のファジィングはDLライブラリの複雑さとAPIの多様性に悩まされている。 DLライブラリのためのLLM駆動ファジィ手法であるDFUZZを提案する。
  論文  参考訳（メタデータ） (2025-01-08T07:07:22Z)
• ExploraCoder: Advancing code generation for multiple unseen APIs via planning and chained exploration [70.26807758443675]
  ExploraCoderはトレーニング不要のフレームワークで、大規模な言語モデルにコードソリューションで見えないAPIを呼び出す権限を与える。 実験の結果、ExploreaCoderは、事前のAPI知識に欠けるモデルのパフォーマンスを大幅に改善することが示された。
  論文  参考訳（メタデータ） (2024-12-06T19:00:15Z)
• RoBERTa-Augmented Synthesis for Detecting Malicious API Requests [9.035212370386846]
  GANにインスパイアされた学習フレームワークを導入し、ターゲットとなるドメイン認識合成を通じて限られたAPIトラフィックデータセットを拡張する。 我々は,CSIC 2010 と ATRDF 2023 の2つのベンチマークデータセット上でフレームワークを評価し,従来のデータ拡張手法と比較した。 CSIC 2010ではF1スコアが4.94%増加し,ATRDF 2023では21.10%向上した。
  論文  参考訳（メタデータ） (2024-05-18T11:10:45Z)
• A Classification-by-Retrieval Framework for Few-Shot Anomaly Detection to Detect API Injection Attacks [9.693391036125908]
  本稿では,2つの主要部品からなる非教師なし数発の異常検出フレームワークを提案する。 まず、FastTextの埋め込みに基づいたAPI専用の汎用言語モデルをトレーニングする。 次に,近似Nearest Neighborサーチを分類・検索手法として用いた。
  論文  参考訳（メタデータ） (2024-05-18T10:15:31Z)
• RESTRuler: Towards Automatically Identifying Violations of RESTful Design Rules in Web APIs [3.4711214580685557]
  静的解析を用いてオープンAPI記述における設計規則違反を検出する,JavaベースのオープンソースツールであるRESTRulerを紹介する。 堅牢性のため、RESTRulerは、使用済みの現実世界のOpenAPI定義の99%をうまく分析した。 パフォーマンス効率向上のために、このツールは大部分のファイルに対して良好に動作し、CPUとRAM使用率の低い23秒未満で84%の分析が可能になった。
  論文  参考訳（メタデータ） (2024-02-21T11:25:22Z)
• MASC: A Tool for Mutation-Based Evaluation of Static Crypto-API Misuse Detectors [16.62222783321419]
  本論文では,静的暗号API誤用検知器(MASC)の評価のための変異解析という,ツールの技術的詳細と利用シナリオについて述べる。 暗号APIの誤用事例のコンパイル可能な変種を表現的にインスタンス化するために,12ドル(約1万2000円)の一般化可能,使用法に基づく突然変異演算子と3つの突然変異スコープ,すなわちMain Scope,Simisity Scope,Exhaustive Scopeを開発した。 MASCはコマンドラインインターフェースとWebベースのフロントエンドの両方を備えており、異なるレベルの専門知識を持つユーザには実用的です。
  論文  参考訳（メタデータ） (2023-08-04T13:22:22Z)
• Private-Library-Oriented Code Generation with Large Language Models [52.73999698194344]
  本稿では,大規模言語モデル(LLM)をプライベートライブラリのコード生成に活用することに焦点を当てる。 プログラマがプライベートコードを書く過程をエミュレートする新しいフレームワークを提案する。 TorchDataEval、TorchDataComplexEval、MonkeyEval、BeatNumEvalの4つのプライベートライブラリベンチマークを作成しました。
  論文  参考訳（メタデータ） (2023-07-28T07:43:13Z)
• Evaluating Embedding APIs for Information Retrieval [51.24236853841468]
  ドメインの一般化と多言語検索における既存のセマンティック埋め込みAPIの機能を評価する。 BM25の結果をAPIを使って再ランク付けすることは、予算に優しいアプローチであり、英語でもっとも効果的である。 非英語検索では、再ランク付けは結果を改善するが、BM25のハイブリッドモデルは高いコストで機能する。
  論文  参考訳（メタデータ） (2023-05-10T16:40:52Z)
• Simple Transparent Adversarial Examples [65.65977217108659]
  本研究は,ロバスト性を評価するための簡易な方法として,秘密の埋め込みと透明な敵の例を紹介した。 その結果、ハイリスクなアプリケーションにAPIが使用されるという深刻な脅威が生じる。
  論文  参考訳（メタデータ） (2021-05-20T11:54:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。