論文の概要: AndroScanner: Automated Backend Vulnerability Detection for Android Applications
- arxiv url: http://arxiv.org/abs/2604.14431v1
- Date: Wed, 15 Apr 2026 21:23:49 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-17 21:29:31.616301
- Title: AndroScanner: Automated Backend Vulnerability Detection for Android Applications
- Title(参考訳): AndroScanner: Androidアプリケーションの自動バックエンド脆弱性検出
- Authors: Harini Dandu,
- Abstract要約: AndroScannerは、Androidアプリケーションバックエンドの脆弱性を検出する自動パイプラインである。
バックエンドAPIコールをToptool、Androguard、Fridaベースの動的インスツルメンテーションを使用してAPKファイルから抽出する。
APIFuzzerを使って、API Security Top 10と競合する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Mobile applications rely on complex backends that introduce significant security risks, yet developers often lack the tools to assess these risks effectively. This paper presents AndroScanner, an automated pipeline for detecting vulnerabilities in Android application backends through combined static and dynamic analysis. AndroScanner extracts backend API calls from APK files using apktool, Androguard, and Frida-based dynamic instrumentation, then vets them against the OWASP API Security Top 10 using APIFuzzer. We evaluate AndroScanner on two Android applications: a purposely vulnerable bank application and a production recruitment application with over 50,000 downloads on Google Play Store. Across both applications, AndroScanner extracted 24 APIs and identified 5 vulnerabilities, including a previously unreported zero-day Excessive Data Exposure vulnerability (ranked 3rd in the OWASP API Security Top 10) in the production application. The vulnerability was responsibly disclosed to the development team prior to publication. AndroScanner is available upon request to assist developers in identifying and remediating backend security risks before deployment.
- Abstract(参考訳): モバイルアプリケーションは、重大なセキュリティリスクをもたらす複雑なバックエンドに依存しているが、開発者はこれらのリスクを効果的に評価するツールが欠けていることが多い。
本稿では,Androidアプリケーションバックエンドの脆弱性を静的解析と動的解析を組み合わせた自動パイプラインであるAndroScannerを提案する。
AndroScannerは、apktool、Androguard、Fridaベースの動的インスツルメンテーションを使用してAPKファイルからバックエンドAPIコールを抽出し、APIFuzzerを使用してOWASP API Security Top 10と競合する。
We evaluate AndroScanner on two Android applications: a purposely vulnerable bank application and a production recruitment application with a50,000 downloads on Google Play Store。
両方のアプリケーションで、AndroScanner氏は24のAPIを抽出し、5つの脆弱性を特定した。
脆弱性は公開前に開発チームに責任を持って開示された。
AndroScannerは、デプロイ前にバックエンドのセキュリティリスクを特定し、更新する開発者を支援するために、要求に応じて利用できる。
関連論文リスト
- Security Evaluation of Android apps in budget African Mobile Devices [38.026369204707784]
広く分散された低価格デバイスにプリインストールされたアプリケーションは、ユーザのセキュリティとプライバシに対する重大な、未調査の脅威である。
これらの結果は、広く分散された低価格デバイスにプリインストールされたアプリケーションが、ユーザセキュリティとプライバシに対する重大な、未調査の脅威であることを示している。
論文 参考訳(メタデータ) (2025-09-23T08:45:07Z) - Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - OS-Harm: A Benchmark for Measuring Safety of Computer Use Agents [60.78202583483591]
コンピュータ使用エージェントの安全性を計測する新しいベンチマークであるOS-Harmを紹介する。
OS-HarmはOSWorld環境上に構築されており、故意のユーザ誤用、インジェクション攻撃、モデル誤動作の3つのカテゴリでモデルをテストすることを目指している。
我々は、フロンティアモデルに基づいてコンピュータ利用エージェントを評価し、その安全性に関する洞察を提供する。
論文 参考訳(メタデータ) (2025-06-17T17:59:31Z) - Vulnerability, Where Art Thou? An Investigation of Vulnerability Management in Android Smartphone Chipsets [2.1959918957023743]
本稿は,Androidエコシステムにおけるスマートフォンチップセットの脆弱性管理の現状に関する実証的研究である。
我々は、主要な4つのチップセットメーカーの437のチップセットモデルと6,866のスマートフォンモデルに影響を及ぼす3,676個のチップセットの脆弱性の統一された知識ベースを作成します。
単一の脆弱性が数百から数千の異なるスマートフォンモデルに影響を与えることがよくあります。
論文 参考訳(メタデータ) (2024-12-09T15:04:50Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - A Risk Estimation Study of Native Code Vulnerabilities in Android Applications [1.6078134198754157]
我々は,Androidアプリケーションのネイティブな部分に関連するリスクスコアを提供する,高速なリスクベースのアプローチを提案する。
多くのアプリケーションには、誤信が潜在的に悪用する可能性のある、よく知られた脆弱性が含まれていることが示されています。
論文 参考訳(メタデータ) (2024-06-04T06:44:07Z) - Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
論文 参考訳(メタデータ) (2023-10-22T00:08:51Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z) - SeMA: Extending and Analyzing Storyboards to Develop Secure Android Apps [0.0]
SeMAは、ストーリーボードのような既存のモバイルアプリデザインアーティファクトの上に構築された、モバイルアプリ開発方法論である。
SeMAの有効性を評価することで、Androidアプリで既知の49の脆弱性を検出し、防止することができる。
論文 参考訳(メタデータ) (2020-01-27T20:10:52Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。