論文の概要: Evaluating Large Language Models in detecting Secrets in Android Apps
- arxiv url: http://arxiv.org/abs/2510.18601v1
- Date: Tue, 21 Oct 2025 12:59:39 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-25 03:08:13.535454
- Title: Evaluating Large Language Models in detecting Secrets in Android Apps
- Title(参考訳): Androidアプリのシークレット検出における大規模言語モデルの評価
- Authors: Marco Alecci, Jordan Samhi, Tegawendé F. Bissyandé, Jacques Klein,
- Abstract要約: モバイルアプリは、APIキー、トークン、クライアントIDなどの認証シークレットを組み込んでクラウドサービスと統合することが多い。
開発者はこれらの認証情報をAndroidアプリにハードコーディングし、リバースエンジニアリングを通じて抽出する。
我々は,Androidアプリのハードコードシークレットを検出するLLMベースのアプローチであるSecretLocを提案する。
- 参考スコア(独自算出の注目度): 11.963737068221436
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Mobile apps often embed authentication secrets, such as API keys, tokens, and client IDs, to integrate with cloud services. However, developers often hardcode these credentials into Android apps, exposing them to extraction through reverse engineering. Once compromised, adversaries can exploit secrets to access sensitive data, manipulate resources, or abuse APIs, resulting in significant security and financial risks. Existing detection approaches, such as regex-based analysis, static analysis, and machine learning, are effective for identifying known patterns but are fundamentally limited: they require prior knowledge of credential structures, API signatures, or training data. In this paper, we propose SecretLoc, an LLM-based approach for detecting hardcoded secrets in Android apps. SecretLoc goes beyond pattern matching; it leverages contextual and structural cues to identify secrets without relying on predefined patterns or labeled training sets. Using a benchmark dataset from the literature, we demonstrate that SecretLoc detects secrets missed by regex-, static-, and ML-based methods, including previously unseen types of secrets. In total, we discovered 4828 secrets that were undetected by existing approaches, discovering more than 10 "new" types of secrets, such as OpenAI API keys, GitHub Access Tokens, RSA private keys, and JWT tokens, and more. We further extend our analysis to newly crawled apps from Google Play, where we uncovered and responsibly disclosed additional hardcoded secrets. Across a set of 5000 apps, we detected secrets in 2124 apps (42.5%), several of which were confirmed and remediated by developers after we contacted them. Our results reveal a dual-use risk: if analysts can uncover these secrets with LLMs, so can attackers. This underscores the urgent need for proactive secret management and stronger mitigation practices across the mobile ecosystem.
- Abstract(参考訳): モバイルアプリは、APIキー、トークン、クライアントIDなどの認証シークレットを組み込んでクラウドサービスと統合することが多い。
しかし、開発者はしばしばこれらの認証情報をAndroidアプリにハードコーディングし、リバースエンジニアリングを通じて抽出する。
一度妥協されると、敵は機密データにアクセスしたり、リソースを操作したり、APIを悪用したりするために秘密を利用することができる。
regexベースの分析、静的解析、マシンラーニングといった既存の検出アプローチは、既知のパターンを特定するのに有効だが、基本的に制限されている。
本稿では,Androidアプリのハードコードシークレットを検出するLLMベースのアプローチであるSecretLocを提案する。
SecretLocは、コンテキストと構造的なキューを活用して、事前に定義されたパターンやラベル付きトレーニングセットに頼ることなく、シークレットを識別する。
文献から得られたベンチマークデータセットを用いて、SecretLocは、これまで目に見えないタイプのシークレットを含む、regex-、static-、MLベースのメソッドで見逃されたシークレットを検出する。
これまでのアプローチでは検出されていなかった4828のシークレットを発見し、OpenAI APIキー、GitHub Access Tokens、RSAプライベートキー、JWTトークンなど、10以上の"新しい"シークレットを発見しました。
さらに分析をGoogle Playから新たにクロールされたアプリに拡張し、ハードコードされた追加の秘密を発見して、責任を持って公開しました。
5000のアプリの中で、私たちは2124のアプリ(42.5%)で秘密を検出しました。
もしアナリストがこれらの秘密をLSMで発見できるなら、攻撃者はそうすることができる。
このことは、モバイルエコシステム全体にわたる積極的な秘密管理とより強力な緩和プラクティスの緊急の必要性を浮き彫りにしている。
関連論文リスト
- Cryptanalysis via Machine Learning Based Information Theoretic Metrics [58.96805474751668]
本稿では,機械学習アルゴリズムの新たな2つの応用法を提案する。
これらのアルゴリズムは、監査設定で容易に適用でき、暗号システムの堅牢性を評価することができる。
本稿では,DES,RSA,AES ECBなど,IND-CPAの安全でない暗号化スキームを高精度に識別する。
論文 参考訳(メタデータ) (2025-01-25T04:53:36Z) - How Far are App Secrets from Being Stolen? A Case Study on Android [9.880229355258875]
Androidアプリは、クラウドサービスの認証情報や暗号化キーなど、自分自身の秘密の文字列を保持することができる。
このような秘密文字列の漏洩は、金銭的損失やユーザーの個人情報の漏洩といった前例のない結果を引き起こす可能性がある。
この研究は、Google Play上の14,665のAndroidアプリからサンプリングされた575のアプリ秘密に基づいて、アプリのシークレットリークの問題を特徴付けている。
論文 参考訳(メタデータ) (2025-01-14T03:15:31Z) - Automatically Detecting Checked-In Secrets in Android Apps: How Far Are We? [4.619114660081147]
開発者はしばしば、そのようなシークレットの適切なストレージを見落とし、プロジェクトに直接配置することを選択します。
チェックインされたシークレットがプロジェクトにチェックインされ、悪意のある敵によって簡単に抽出され、悪用される。
オープンソースプロジェクトとは異なり、ソースコードへの直接アクセスの欠如と難読化の存在は、Androidアプリのチェックインシークレット検出を複雑にする。
論文 参考訳(メタデータ) (2024-12-14T18:14:25Z) - LeakAgent: RL-based Red-teaming Agent for LLM Privacy Leakage [78.33839735526769]
LeakAgentは、プライバシー漏洩のための新しいブラックボックスレッドチームフレームワークである。
我々のフレームワークは、敵のプロンプトを生成するための攻撃エージェントとして強化学習を通じてオープンソースのLLMを訓練する。
我々は,LeakAgentが既存のルールベースのデータ抽出手法と,システムリーク時の自動手法を著しく上回っていることを示す。
論文 参考訳(メタデータ) (2024-12-07T20:09:01Z) - Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。
ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。
本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
論文 参考訳(メタデータ) (2024-10-31T06:14:17Z) - AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts [4.778835435164734]
AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。
AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。
以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
論文 参考訳(メタデータ) (2024-03-28T00:24:49Z) - Can LLMs Keep a Secret? Testing Privacy Implications of Language Models via Contextual Integrity Theory [82.7042006247124]
私たちは、最も有能なAIモデルでさえ、人間がそれぞれ39%と57%の確率で、プライベートな情報を公開していることを示しています。
我々の研究は、推論と心の理論に基づいて、新しい推論時プライバシー保護アプローチを即時に探求する必要性を浮き彫りにしている。
論文 参考訳(メタデータ) (2023-10-27T04:15:30Z) - Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。
バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。
具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
論文 参考訳(メタデータ) (2022-08-04T05:32:20Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。