論文の概要: Lost in Migration: Exposing Android Framework Vulnerabilities in Parallel Java-Kotlin Implementations
- arxiv url: http://arxiv.org/abs/2606.07420v1
- Date: Fri, 05 Jun 2026 16:15:03 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-08 14:33:29.842054
- Title: Lost in Migration: Exposing Android Framework Vulnerabilities in Parallel Java-Kotlin Implementations
- Title(参考訳): 移行の損失:並列Java-Kotlin実装におけるAndroidフレームワーク脆弱性の公開
- Authors: Rui Li, Wenrui Diao, Debin Gao,
- Abstract要約: JavaとKotlinの両方で同じコンポーネントが実装されているAndroid Open Source Project(AOSP)で並列実装を観察します。
このようなばらつきは、それ自体は脆弱性ではないが、周囲の執行ロジックの欠陥を明らかにする有用な手がかりを提供する。
本稿では,AndroidフレームワークにおけるJava-Kotlin並列実装に関する最初の体系的研究を行い,そのセキュリティへの影響について検討する。
- 参考スコア(独自算出の注目度): 9.349014404468695
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Android has adopted Kotlin alongside Java across apps and core system components. During this shift, we observe parallel implementations in the Android Open Source Project (AOSP) where the same component is implemented in both Java and Kotlin. In principle, their functional purposes are identical. In practice, subtle semantic divergences can appear. Such divergences are not vulnerabilities by themselves, but they provide useful clues that may reveal flaws in surrounding enforcement logic. To the best of our knowledge, this paper presents the first systematic study of Java-Kotlin parallel implementations in the Android framework and examines their security implications. We design and build ParaDroid, an analysis framework that identifies parallel methods at scale and compares their behaviors. ParaDroid normalizes code into a bytecode-level intermediate representation, reconstructs class-to-source mappings, and uses large language models to reason about method semantics and identify behavioral divergences. Evaluated on AOSP Android 14-16, ParaDroid identified 329 parallel method pairs and 37 vulnerable divergences. We responsibly disclosed the exploitable issues to the Android Security Team. Three vulnerabilities and two bugs have been confirmed, and two CVE IDs have been assigned. Our results demonstrate that parallel Java-Kotlin code paths provide a practical surface for discovering security flaws in modern Android.
- Abstract(参考訳): Androidは、アプリとコアシステムコンポーネントをまたいだJavaと並行してKotlinを採用した。
この移行中に、同じコンポーネントがJavaとKotlinの両方で実装されているAndroid Open Source Project(AOSP)の並列実装を観察します。
原則として、それらの機能目的は同一である。
実際には、微妙な意味の相違が見られる。
このようなばらつきは、それ自体は脆弱性ではないが、周囲の執行ロジックの欠陥を明らかにする有用な手がかりを提供する。
我々の知る限り、AndroidフレームワークにおけるJava-Kotlin並列実装に関する最初の体系的研究を行い、そのセキュリティへの影響について検討する。
並列メソッドを大規模に識別し,その振る舞いを比較する分析フレームワークであるParaDroidを設計・構築する。
ParaDroidはバイトコードレベルの中間表現にコードを正規化し、クラスからソースへのマッピングを再構築し、大きな言語モデルを使用してメソッドの意味を推論し、振る舞いの相違を識別する。
AOSP Android 14-16で評価されたParaDroidは、329の並列メソッドペアと37の脆弱な分岐を同定した。
私たちは、悪用可能な問題をAndroid Security Teamに責任を持って開示しました。
3つの脆弱性と2つのバグが確認され、2つのCVE IDが割り当てられた。
我々の結果は、並列Java-Kotlinコードパスが、現代のAndroidのセキュリティ欠陥を発見するための実用的な表面を提供することを示した。
関連論文リスト
- WOOTdroid: Whole-system Online On-device Tracing for Android [16.426489065657716]
既存のsyscallトレーサは、ロード中のイベントを失い、ユーザスペースリーダが取り出すよりも早く、静かにエントリを上書きする。
セキュリティ関連アプリケーションの動作は、AndroidのカーネルIPCメカニズムであるBinderを介して行われるため、syscall層から隠されている。
We present WOOTdroid, a design and prototype for on-device Trace on stock Android that address both problems without OS modified or application instrumentation。
論文 参考訳(メタデータ) (2026-04-30T13:18:24Z) - Deserialization Gadget Chains are not a Pathological Problem in Android:an In-Depth Study of Java Gadget Chains in AOSP [40.53819791643813]
JavaのSerializable APIには、デシリアライズ脆弱性、特にデシリアライズガジェットチェーンの長い歴史がある。
音質と効率性に最適化されたガジェットチェーン検出ツールを設計する。
ツールをAndroid SDK上で実行し、1200のAndroid依存物と包括的なシンクデータセットを組み合わせることで、セキュリティクリティカルなガジェットチェーンが得られません。
論文 参考訳(メタデータ) (2025-02-12T14:39:30Z) - Shelving it rather than Ditching it: Dynamically Debloating DEX and Native Methods of Android Applications without APK Modification [29.467587717542013]
3DNDroidは、AnDroidアプリのDEXメソッドとNativeメソッドの両方をターゲットにしたDynamic Debloatingアプローチである。
これは、デ肥大化したバイトコードメソッドの呼び出しをインターセプトし、それらの解釈、コンパイル、実行を防ぐ。
評価では、3DNDroidが187のDEXメソッドと30のネイティブメソッドを55の現実世界のアプリケーションでデブロする能力を示している。
論文 参考訳(メタデータ) (2025-01-09T04:34:00Z) - Cross-Language Dependencies: An Empirical Study of Kotlin-Java [1.5680371708311132]
Googleが2017年にAndroidアプリ開発の公式プログラミング言語としてKotlinを導入して以来、KotlinはAndroid開発で広く採用されている。
現実世界のプロジェクトでJavaとKotlinが相互に相互作用する方法については、限定的な研究がある。
我々は、3,227のJavaと8,630のKotlinソースファイルを持つ23のKotlin-Java実世界のプロジェクトについて実証的研究を行った。
論文 参考訳(メタデータ) (2024-05-07T18:26:24Z) - JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。
これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。
JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
論文 参考訳(メタデータ) (2024-03-28T02:44:02Z) - SegmentMeIfYouCan: A Benchmark for Anomaly Segmentation [111.61261419566908]
ディープニューラルネットワーク(DNN)は通常、閉集合のセマンティッククラスで訓練される。
未発見のオブジェクトを扱うには不備だ。
このような物体の検出と局在化は、自動運転の認識などの安全クリティカルなアプリケーションに不可欠です。
論文 参考訳(メタデータ) (2021-04-30T07:58:19Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。