ВРАЗЛИВОСТІ СИСТЕМИ БЕЗПЕКИ В ДОДАТКАХ ОС ANDROID

  • П. Р. Черненко Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського»
  • М. М. Орлова Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського»
Ключові слова: ОС Android, APK, AndroBugs, Ostorlab, сканування вразливостей, соціальні мережі, конфіденційна інформація

Анотація

Впродовж останніх років підприємства все частіше розробляють та використовують мобільні додатки для збільшення ефективності своїх бізнес-процесів. Співробітники, клієнти та постачальники в результаті отримують підвищення продуктивності робочих процесів за рахунок обміну інформацією в режимі реального часу, мобільності та кращої функціональності.

Незважаючи на переваги мобільних додатків, їх використання може призвести до потенційних серйозних збоїв у системі безпеки. Подібно до застарілих корпоративних рішень, мобільні додатки можуть містити вразливості, що піддаються атакам.

Вразливості та ризики, пов’язані з конфіденційністю, які присутні в додатках для ОС Android, що встановлені на мільйонах пристроїв, можуть використовуватися зловмисниками для отримання несанкціонованого доступу до інформаційних ресурсів організації або даних користувача. Більшість мобільних додатків для ОС Android ініціюють з’єднання з мережею, іншими додатками або сторонніми сервісами, що робить необачного користувача більш вразливим до атаки зловмисників. Тому забезпечення захисту, мобільне шифрування та ретельна перевірка додатків на вразливості необхідна на стадії розробки додатку.

В роботі продемонстровано деякі стандартні засоби для проведення статичного аналізу додатків для ОС Android без запуску на пристрої користувача. Позаяк соціальні мережі в наш час є найзначущим медіа-місцем у світі і найпоширенішим каналом для передачі даних, відео та аудіо, за допомогою вищезгаданих методів статичного аналізу, перевірено вісім додатків популярних соціальних мереж, якими на сьогоднішній день користуються мільйони користувачів, та продемонстровано типи вразливостей, які виявлено в цих додатках. Також в роботі проаналізовано загрози з найбільшим потенційним впливом на бізнес-середовище та сформульовано рекомендації щодо зменшення ризиків їх виникнення.

Біографії авторів

П. Р. Черненко, Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського»

аспірант кафедри системного програмування і спеціалізованих комп’ютерних систем

М. М. Орлова, Національний технічний університет України «Київський політехнічний інститут імені Ігоря Сікорського»

канд. техн. наук, доцент кафедри системного програмування і спеціалізованих комп’ютерних систем

Посилання

A. Coyne, “ANZ retires Grow, goMoney apps,” 2018. [Online]. Available: https://www.itnews.com.au/news/anz-retires-grow-gomoney-apps-485437 .

Eavesdropper: How a Mobile Developer Error is Exposing Millions of Conversations, Industry report, Appthority, 2017

L. Stefanko, “Banking Trojans continue to surface on Google Play,” 2018. [Online]. Available: https://www.welivesecurity.com/2018/10/24/banking-trojans-continue-surface-google-play/ .

V. K. Velu, Mobile Application Penetration Testing, USA: Packt Publishing, 2016.

S. Quirolgico, J. Voas, T. Karygiannis, C. Michael, and K. Scarfone, “Vetting the Security of Mobile Applications,” NIST Special Publication 800-163, 2015. https://doi.org/10.6028/nist.Sp.800-163 .

Mobile Top 10 2014-M2, OWASP, 2014. [Online]. Available: https://www.owasp.org/index.php/Mobile_Top_10_2014-M2 .

Mobile Top 10 2014-M3, OWASP, 2014. [Online]. Available: https://www.owasp.org/index.php/Mobile_Top_10_2014-M3 .

CVE-2013-6271, National Vulnerability Database Common Vulnerabilities and Exposures, 2013. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6271 .

CVE-2011-3901, National Vulnerability Database Common Vulnerabilities and Exposures, 2011. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3901 .

CVE-2013-4710, National Vulnerability Database Common Vulnerabilities and Exposures, 2013. [Online]. Available: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4710 .

Mobile Malware Evolution, Kaspersky, 2016. [Online]. Available: https://securelist.com/files/2017/02/Mobile_report_2016.pdf .

Security Guidance for Critical Areas of Mobile Computing, Cloud Security Alliance, 2012. [Online]. Available: https://cloudsecurityalliance.org/artifacts/security-guidance-for-critical-areas-of-mobile-computing/ .

D. Maslennikov, ZeuS-in-the-Mobile for Android, 2011. [Online]. Available: https://securelist.com/zeus-in-the- mobile-for-android-10/29258/ .

M. Zhang, and S. Aimoto, Android Malware Harvests Facebook Account Details, 2018. [Online]. Available: https://www.symantec.com/blogs/threat-intelligence/android-malware-harvests-facebook-details .

Переглядів анотації: 87 Завантажень PDF: 41
Опубліковано
2020-06-24
Як цитувати
[1]
П. Черненко і М. Орлова, ВРАЗЛИВОСТІ СИСТЕМИ БЕЗПЕКИ В ДОДАТКАХ ОС ANDROID, Вісник Вінницького політехнічного інституту, № 3, с. 43-50, Чер 2020.
Номер
Розділ
Інформаційні технології та комп'ютерна техніка

Завантаження

Данные скачивания пока не доступны.