Page d'accueil>Code source JSP>Autres catégories
Télécharger

NOUVEAU: Nous proposons une plate-forme unifiée nommée Vustotal pour évaluer les outils Android Sast. La plate-forme combine la capacité de détection de 11 outils Android Sast et génère un rapport de détection correspondant (fichier CSV) pour l'APK cible.

AuSera

AUSERA est un outil automatisé pour détecter les vulnérabiles de sécurité dans les applications Android. Nous avons rendu l'outil et l'ensemble de données de référence correspondant accessible au public. Nous espérons que ce projet pourra profiter à d'autres chercheurs ou practes dans le domaine de l'analyse de sécurité des applications Android. N'hésitez pas à nous contacter ([email protected]) si vous avez des questions et des problèmes. Nous continuerons de maintenir ce projet. Merci pour vos commentaires.

Configuration de l'environnement

  • Ubuntu / MacBook
  • Python: (les deux et 3 devraient être bien)
  • Apktool: 2.6.1 (veuillez utiliser la dernière version d'Apktool), réf: instructions d'installation apktool
  • Environnement Java (JDK): JDK1.8.0_45 export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_45 Installer Android Sdk, réf: sdkManager. Sur Mac, les SDK seront enregistrés dans ~/Library/Android/sdk/platforms
  • Ouvrir ~ / .Bashrc et configurer le chemin d'accès de JDK et SDK (remplacer par vos propres chemins): 
 export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_45
export JAVA_BIN=/usr/lib/jvm/jdk1.8.0_45/bin
export CLASSPATH=.:${JAVA_HOME}/lib/dt.jar:${JAVA_HOME}/lib/tools.jar
export PATH=$PATH:${JAVA_HOME}/bin
export PATH=$PATH:/home/dell/Android/Sdk/tools
export PATH=$PATH:/home/dell/Android/Sdk/platform-tools
export PATH=$PATH:/home/dell/Android/Sdk/emulator
export JAVA_HOME JAVA_BIN CLASSPATH PATH

Enregistrement d'exécution

https://youtu.be/sfuk3b3iueu

Usage

Veuillez mettre le fichier APK Target sous test dans le dossier apks

Le rapport de sortie peut être trouvé dans engine-result/engine-report/apk_sha256_output.json

Format de commande:

python apk-engine.py [Repo_Path] [JAVA_HOME_Path] [SDK_Platform_Path]

Exemple:

python2.7 apk-engine.py /media/dell/49fff1d2-ef19-4e4d-855b-4eca95be873a/dell/Tools/ausera-main/ /usr/lib/jvm/jdk1.8.0_45/ /media/dell/49fff1d2-ef19-4e4d-855b-4eca95be873a/dell/Tools/ausera-main/engine-configuration/libs/android-platforms/

Sortir 

 Public Id: BUG-A003-0001; 
Type: Security Bug; 
Risk Level: High; 
Risk Score: 8;
Sub Type: SMS data leakage; // App vulnerability type
Description: The app sends an SMS attached with the sensitive data (in plaintext) to authenticate that user, but the data is stored in the SMS outbox unexpectedly. If an adversary registers a content observer to the SMS outbox on the mobile device with some permissions, the user's sensitive data can be easily intercepted by the adversary who impersonates that user to manipulate her legitimate banking account.
Location: Found a flow to sink virtualinvoke $r10.<android.telephony.SmsManager: void sendTextMessage(), from the following sources: $r5 = virtualinvoke $r4.<android.widget.EditText: android.text.Editable getText()>() (in <com.globe.gcash.android.activity.transaction.RegistrationTransactionActivity: void doNext()>) 
=> RegistrationTransactionActivity;doNext();$r4;$r5 // Activity, Method, Variables logging
==> pin;firstName;lastName;addr // Sensitive data tagging
Patch Method: Avoid sending sensitive data via SMS and store the sensitive data in the SMS outbox accordingly.

Papiers

[1] AUSERA: Évaluation automatisée des risques de sécurité pour la détection de vulnérabilité dans les applications Android 

 @inproceedings{chen2022ausera,
  title={AUSERA: Automated Security Risk Assessment for Vulnerability Detection in Android Apps},
  author={Chen, Sen and and Zhang, Yuxin and Fan, Lingling and Li, Jiaming and Liu, Yang},
  booktitle={ASE},
  year={2022}
}

[2] Une évaluation empirique des risques de sécurité des applications mondiales de banque Android 

 @inproceedings{chen2019ausera,
  title={An Empirical Assessment of Security Risks of Global {Android} Banking Apps},
  author={Chen, Sen and Fan, Lingling and Meng, Guozhu and Su, Ting and Xue, Minhui and Xue, Yinxing and Liu, Yang and Xu, Lihua},
  booktitle={ICSE},
  year={2020}
}

[3] Les applications bancaires mobiles sont-elles sécurisées? Qu'est-ce qui peut être amélioré? 

 @inproceedings{chen2018mobile,
  title={Are mobile banking apps secure? {What} can be improved?},
  author={Chen, Sen and Su, Ting and Fan, Lingling and Meng, Guozhu and Xue, Minhui and Liu, Yang and Xu, Lihua},
  booktitle={ESEC/FSE},
  year={2018}
}

Contact

Sen Chen tous les droits d'auteur réservés.

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout