論文の概要: Security Evaluation of Mobile Banking Applications in Sudan
- arxiv url: http://arxiv.org/abs/2606.14165v1
- Date: Fri, 12 Jun 2026 06:43:53 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-15 16:00:42.782444
- Title: Security Evaluation of Mobile Banking Applications in Sudan
- Title(参考訳): スーダンにおけるモバイルバンキングアプリケーションのセキュリティ評価
- Authors: Abdelmonim Naway,
- Abstract要約: この研究は、最も広く使われているスーダンのMBA4種の総合的な技術監査を提供する。
Bankak、Fawry、Okash、Sahilが評価された。
発見はシステム脆弱性を特定するためにCommon Weaknession (CWE)識別子にマッピングされた。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The rapid digitalization of the Sudanese financial sector has precipitated a surge in Mobile Banking Applications (MBAs); however, this growth has frequently outpaced rigorous security auditing. This study provides a comprehensive technical audit of the four most widely used Sudanese MBAs( Bankak, Fawry, Okash, and Sahil )collectively serving a user base of over 1.6 million. Utilizing Static Application Security Testing (SAST) via the Mobile Security Framework (MobSF) and Quixxi, the applications were evaluated against the OWASP Mobile Application Security Verification Standard (MASVS). Findings were mapped to Common Weakness Enumeration (CWE) identifiers to identify systemic vulnerabilities. Analysis revealed critical disparities in security posture. Bankak, the market leader, exhibited the highest risk profile (12 vulnerabilities), including a critical absence of SSL certificate pinning and unsafe TrustManager implementations, rendering it highly susceptible to Man-in-the-Middle (MitM) attacks. While Fawry demonstrated relative maturity (7 vulnerabilities), a universal failure was observed across all four applications regarding secure random number generation (CWE-330), potentially compromising session token integrity. Additionally, Bankak and Okash were found to utilize deprecated cryptographic algorithms (MD5/SHA-1). Notably, all applications successfully disabled ADB backups, yet 100% retained verbose debugging symbols in production APKs, significantly lowering the barrier for reverse engineering. This research addresses a critical gap in the national fintech ecosystem by providing actionable technical recommendations for developers and a strategic roadmap for implementing "security-by-design" principles across the sector.
- Abstract(参考訳): スーダンの金融セクターの急速なデジタル化は、モバイルバンキングアプリケーション(MBA)の急激な増加を招いているが、この成長は厳格なセキュリティ監査をしばしば上回っている。
本研究は,最も広く使用されているスーダンのMBA(バンナク,ファウリー,オカシ,サヒル)を総括的に調査し,ユーザベースが1.6万を超えていることを示す。
Mobile Security Framework (MobSF) と Quixxi を通じて静的アプリケーションセキュリティテスト (SAST) を利用することで、アプリケーションはOWASP Mobile Application Security Verification Standard (MASVS) に対して評価された。
発見は、システム脆弱性を特定するために、Common Weakness Enumeration (CWE)識別子にマッピングされた。
分析の結果、セキュリティ姿勢の重大な差異が明らかになった。
市場リーダーであるBanak氏は、SSL証明書のピンニングと安全でないTrustManager実装の欠如など、最もリスクの高いプロファイル(12の脆弱性)を示した。
Fawryは相対的な成熟度(7つの脆弱性)を示したが、セキュアな乱数生成(CWE-330)に関する4つのアプリケーションで普遍的な失敗が見られ、セッショントークンの完全性を損なう可能性がある。
さらに、BanakとOkashは非推奨の暗号アルゴリズム(MD5/SHA-1)を利用することがわかった。
注目すべきは、すべてのアプリケーションがADBバックアップを無効にしたが、プロダクションAPKでは100%冗長なデバッグシンボルを保持し、リバースエンジニアリングの障壁を著しく減らしたことだ。
本研究は、開発者に対して実行可能な技術的レコメンデーションと、セクター全体で「セキュリティ・バイ・デザイン」の原則を実装する戦略的ロードマップを提供することによって、全国的なフィンテックエコシステムにおける重要なギャップに対処する。
関連論文リスト
- SecPI: Secure Code Generation with Reasoning Models via Security Reasoning Internalization [50.71047638695205]
RLM(Reasoning Language Model)は、プログラミングにおいてますます使われている言語モデルである。
しかし、最先端のRLMでさえ、生成されたコードに重大なセキュリティ脆弱性を頻繁に導入する。
我々は、構造化されたセキュリティ推論を内部化するためのRTMを教える微調整パイプラインであるSecPIを提案する。
論文 参考訳(メタデータ) (2026-04-04T04:29:11Z) - Virtualization-based Penetration Testing Study for Detecting Accessibility Abuse Vulnerabilities in Banking Apps in East and Southeast Asia [6.319052540589321]
FjordPhantomは、われわれの業界の協力者によって発見されたマルウェアで、仮想化とフックを使って悪意のあるアクセシビリティサービスの検出を回避している。
このマルウェアは、主に東アジアと東南アジアの銀行や金融アプリに影響を与える。
ユーザーは二次的な悪意のあるコンポーネントをインストールし、悪意のあるアクセシビリティサービスをアクティベートする必要がある。
論文 参考訳(メタデータ) (2026-01-29T04:37:53Z) - GSPR: Aligning LLM Safeguards as Generalizable Safety Policy Reasoners [60.49708196646694]
大規模言語モデル(LLM)は、様々な領域にわたる多くのアプリケーションに統合されつつある。
本稿では,安全でない入力プロンプトとLLMの出力を不正に検出する汎用安全推論器GSPRを提案する。
我々のGSPRは、安全とカテゴリー予測の両方のタスクにおいて、既存の安全ガードレールの推論能力を大幅に改善する。
論文 参考訳(メタデータ) (2025-09-29T08:07:45Z) - Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。
デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。
提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
論文 参考訳(メタデータ) (2025-08-20T18:42:36Z) - Performance and Storage Analysis of CRYSTALS Kyber as a Post Quantum Replacement for RSA and ECC [45.88028371034407]
CRYSTALS-Kyberは、2022年にNISTによって標準化されたポスト量子暗号ソリューションである。
本研究は,様々な実装方式における性能試験を通じて,Kyberの実用可能性を評価する。
論文 参考訳(メタデータ) (2025-08-03T09:53:45Z) - Enterprise Security Incident Analysis and Countermeasures Based on the T-Mobile Data Breach [0.0]
本稿では,2021年と2023年に行われたT-Mobileの重要データ漏洩を包括的に分析する。
システム、インフラストラクチャ、公開エンドポイントをターゲットにしたフルスペクトルセキュリティ監査が含まれている。
金融モデルでは、5年間の投資が予想される侵害損失の1.1%に満たないことを示している。
論文 参考訳(メタデータ) (2025-07-17T09:22:52Z) - Security Assessment of Mobile Banking Apps in West African Economic and Monetary Union [6.535157270216916]
アプリ開発中に不正に実装されたセキュリティ対策は、ユーザーや金融機関を重大な金融リスクに晒す可能性がある。
本研究は, 静的解析手法を用いて, 50 個の WAEMU MBA を評価した。
悪意のあるアクターによって悪用される可能性のある、セキュリティ関連のコード問題を特定しました。
論文 参考訳(メタデータ) (2024-11-06T17:43:31Z) - Smart Contract and DeFi Security Tools: Do They Meet the Needs of
Practitioners? [10.771021805354911]
スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。
私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。
このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
論文 参考訳(メタデータ) (2023-04-06T10:27:19Z) - Measuring User Perceived Security of Mobile Banking Applications [0.8122270502556371]
本研究は,M-Banking Appsのユーザ認識セキュリティを測定するために行われた。
M-Banking Appsの採用と利用に対するユーザの意図に影響を与える要因として,セキュリティ,機関信頼,技術信頼が確認された。
論文 参考訳(メタデータ) (2022-01-09T16:45:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。