PIVATool – ابزار سریع و دقیق برای تحلیل و شناسایی آسیب‌پذیری‌های PendingIntent

نوع مقاله : مقاله پژوهشی

نویسندگان

1 گروه مهندسی کامپیوتر، دانشکده مهندسی، دانشگاه بوعلی سینا

2 گروه مهندسی کامپیوتر، دانشکده مهندسی، دانشگاه بوعلی سینا، همدان

چکیده

قابلیت ارتباط بین مؤلفه ای و به‌طور مشخص PendingIntentها سبب شده توسعه برنامه‌های کاربردی تحت اندروید گسترش یابد. گرچه PendingIntent در بسیاری از برنامه ها کاربرد دارد اما استفاده نادرست از آن مخاطراتی را به همراه داشته و می تواند زمینه حملات مختلفی مانند رد خدمت، ترفیع امتیاز و نشت داده‌ها را فراهم کند. بنابراین شناسایی آسیب پذیری های مرتبط با PendingIntent قبل از انتشار برنامه ها توسط فروشگاه های ارائه‌دهنده برنامه های اندروید اهمیت دارد. یکی از چالش های تحلیل و شناسایی آسیب پذیری ها برای بازارهای اندروید مدت‌زمان اجرای برنامه شناسایی کننده آسیب پذیری است. در این مقاله یک روش نوین برای شناسایی آسیب پذیری های مرتبط با PendingIntent ارائه گردیده است. PIVATool یک ابزار مبتنی بر تحلیل ایستا برای شناسایی آسیب‌پذیری‌های مرتبط با PendingIntent است که برای شناسایی آسیب‌پذیری‌ها به زمان کمتری نیاز داشته، بدون اینکه دقت کاهش پیدا کند. برای ارزیابی، PIVATool با ابزار PIAnalyzer مقایسه گردیده است. نتایج ارزیابی بر روی 51 برنامه منتخب نشان داد که PIVATool به‌طور متوسط 27 درصد سریع‌تر از PIAnalyzer آسیب‌پذیری‌ها را با همان دقت شناسایی می نماید.

کلیدواژه‌ها


[1]       S. Rani and K. S. Dhindsa, “Android Malware Detection in Official and Third Party Application Stores,” International Journal of Advanced Networking and Applications, vol. 9, no. 4, pp. 3506-3509, 2018.##
[2]      M. Deypir, “Estimating Security Risks of Android Apps Using Information Gain,” Electronic and Cyber Defense, vol. 5, no. 1, pp. 73-83, 2017. [Online]. Available: https://ecdj.ihu.ac.ir/article_200138_30b9b8eeec05f9d21c00f3f4a40d6274.pdf.##
[3]      A. K. Jha, S. Lee, and W. J. Lee, “Modeling and test case generation of inter-component communication in Android,” in 2015 2nd ACM International Conference on Mobile Software Engineering and Systems, IEEE, pp. 113-116. 2015.##
[4]      A. Sadeghi, R. Jabbarvand, N. Ghorbani, H. Bagheri, and S. Malek, “A temporal permission analysis and enforcement framework for android,” in Proceedings of the 40th International Conference on Software Engineering, pp.      846-857, 2018.##
[5]       S. Dhavale and B. Lokhande, “Comnoid: information leakage detection using data flow analysis on android devices,” International Journal of Computer Applications, vol. 134, no. 7, pp. 15-20, 2016.##
[6]       S. Bugiel, L. Davi, A. Dmitrienko, T. Fischer, and A.-R. Sadeghi, “Xmandroid: A new android evolution to mitigate privilege escalation attacks,” Technische Universität Darmstadt, Technical Report TR-2011-04, 2011.##
[7]       P. Gadient, M. Ghafari, P. Frischknecht, and O. Nierstrasz, “Security code smells in Android ICC,” Empirical software engineering, vol. 24, no. 5, pp. 3046-3076, 2019.##
[8]      R. Hay, O. Tripp, and M. Pistoia, “Dynamic detection of inter-application communication vulnerabilities in Android,” in Proceedings of the 2015 International Symposium on Software Testing and Analysis, pp. 118-128, 2015.##
[9]       S. Groß, A. Tiwari, and C. Hammer, “Pianalyzer: A precise approach for pendingintent vulnerability analysis,” in European Symposium on Research in Computer Security, Springer, pp. 41-59, 2018.##
[10]    B. Rashidi and C. J. Fung, “A Survey of Android Security Threats and Defenses,” J. Wirel. Mob. Networks Ubiquitous Comput. Dependable Appl., vol. 6, no. 3, pp. 3-35, 2015.##
[11]    J. A. Shaheen, M. A. Asghar, and A. Hussain, “Android OS with its Architecture and Android Application with Dalvik Virtual Machine Review,” International Journal of Multimedia and Ubiquitous Engineering, vol. 12, no. 7, pp. 19-30, 2017.##
[12]    E. Chin, A. P. Felt, K. Greenwood, and D. Wagner, “Analyzing inter-application communication in Android,” in Proceedings of the 9th international conference on Mobile systems, applications, and services, pp. 239-252, 2011.##
[13]    P. Bhiwani and C. Parekh, “Different Android Vulnerabilities,” Advances in Computational Sciences and Technology, vol. 10, no. 5, pp. 1449-1455, 2017.##
[14]    PendingIntent.html, “http://developer.android.com/reference/android/app/,” 2013.##
[15]   J. Mitra and V.-P. Ranganath, “Ghera: A repository of android app vulnerability benchmarks,” in Proceedings of the 13th International Conference on Predictive Models and Data Analytics in Software Engineering, pp. 43-52, 2017.##
[16]   L. Li et al., “Iccta: Detecting inter-component privacy leaks in android apps,” in 2015 IEEE/ACM 37th IEEE International Conference on Software Engineering, IEEE, vol. 1, pp. 280-291, 2015.##
[17]   S. Bhandari et al., “Android app collusion threat and mitigation techniques,” arXiv preprint arXiv:1611.10076, 2016.##