ВРАЗЛИВОСТІ СИСТЕМИ БЕЗПЕКИ В ДОДАТКАХ ОС ANDROID
DOI:
https://doi.org/10.31649/1997-9266-2020-150-3-43-50Ключові слова:
ОС Android, APK, AndroBugs, Ostorlab, сканування вразливостей, соціальні мережі, конфіденційна інформаціяАнотація
Впродовж останніх років підприємства все частіше розробляють та використовують мобільні додатки для збільшення ефективності своїх бізнес-процесів. Співробітники, клієнти та постачальники в результаті отримують підвищення продуктивності робочих процесів за рахунок обміну інформацією в режимі реального часу, мобільності та кращої функціональності.
Незважаючи на переваги мобільних додатків, їх використання може призвести до потенційних серйозних збоїв у системі безпеки. Подібно до застарілих корпоративних рішень, мобільні додатки можуть містити вразливості, що піддаються атакам.
Вразливості та ризики, пов’язані з конфіденційністю, які присутні в додатках для ОС Android, що встановлені на мільйонах пристроїв, можуть використовуватися зловмисниками для отримання несанкціонованого доступу до інформаційних ресурсів організації або даних користувача. Більшість мобільних додатків для ОС Android ініціюють з’єднання з мережею, іншими додатками або сторонніми сервісами, що робить необачного користувача більш вразливим до атаки зловмисників. Тому забезпечення захисту, мобільне шифрування та ретельна перевірка додатків на вразливості необхідна на стадії розробки додатку.
В роботі продемонстровано деякі стандартні засоби для проведення статичного аналізу додатків для ОС Android без запуску на пристрої користувача. Позаяк соціальні мережі в наш час є найзначущим медіа-місцем у світі і найпоширенішим каналом для передачі даних, відео та аудіо, за допомогою вищезгаданих методів статичного аналізу, перевірено вісім додатків популярних соціальних мереж, якими на сьогоднішній день користуються мільйони користувачів, та продемонстровано типи вразливостей, які виявлено в цих додатках. Також в роботі проаналізовано загрози з найбільшим потенційним впливом на бізнес-середовище та сформульовано рекомендації щодо зменшення ризиків їх виникнення.
Посилання
A. Coyne, “ANZ retires Grow, goMoney apps,” 2018. [Online]. Available: https://www.itnews.com.au/news/anz-retires-grow-gomoney-apps-485437 .
Eavesdropper: How a Mobile Developer Error is Exposing Millions of Conversations, Industry report, Appthority, 2017
L. Stefanko, “Banking Trojans continue to surface on Google Play,” 2018. [Online]. Available: https://www.welivesecurity.com/2018/10/24/banking-trojans-continue-surface-google-play/ .
V. K. Velu, Mobile Application Penetration Testing, USA: Packt Publishing, 2016.
S. Quirolgico, J. Voas, T. Karygiannis, C. Michael, and K. Scarfone, “Vetting the Security of Mobile Applications,” NIST Special Publication 800-163, 2015. https://doi.org/10.6028/nist.Sp.800-163 .
Mobile Top 10 2014-M2, OWASP, 2014. [Online]. Available: https://www.owasp.org/index.php/Mobile_Top_10_2014-M2 .
Mobile Top 10 2014-M3, OWASP, 2014. [Online]. Available: https://www.owasp.org/index.php/Mobile_Top_10_2014-M3 .
CVE-2013-6271, National Vulnerability Database Common Vulnerabilities and Exposures, 2013. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6271 .
CVE-2011-3901, National Vulnerability Database Common Vulnerabilities and Exposures, 2011. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3901 .
CVE-2013-4710, National Vulnerability Database Common Vulnerabilities and Exposures, 2013. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4710 .
Mobile Malware Evolution, Kaspersky, 2016. [Online]. Available: https://securelist.com/files/2017/02/Mobile_report_2016.pdf .
Security Guidance for Critical Areas of Mobile Computing, Cloud Security Alliance, 2012. [Online]. Available: https://cloudsecurityalliance.org/artifacts/security-guidance-for-critical-areas-of-mobile-computing/ .
D. Maslennikov, ZeuS-in-the-Mobile for Android, 2011. [Online]. Available: https://securelist.com/zeus-in-the- mobile-for-android-10/29258/ .
M. Zhang, and S. Aimoto, Android Malware Harvests Facebook Account Details, 2018. [Online]. Available: https://www.symantec.com/blogs/threat-intelligence/android-malware-harvests-facebook-details .
##submission.downloads##
-
PDF
Завантажень: 542
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, згодні з такими умовами:
- Автори зберігають авторське право і надають журналу право першої публікації.
- Автори можуть укладати окремі, додаткові договірні угоди з неексклюзивного поширення опублікованої журналом версії статті (наприклад, розмістити її в інститутському репозиторії або опублікувати її в книзі), з визнанням її первісної публікації в цьому журналі.
- Авторам дозволяється і рекомендується розміщувати їхню роботу в Інтернеті (наприклад, в інституційних сховищах або на їхньому сайті) до і під час процесу подачі, оскільки це сприяє продуктивним обмінам, а також швидшому і ширшому цитуванню опублікованих робіт (див. вплив відкритого доступу).