หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

ใหม่: เราเสนอแพลตฟอร์มแบบครบวงจรชื่อ Vustotal สำหรับการประเมินเครื่องมือ Android Sast แพลตฟอร์มรวมความสามารถในการตรวจจับของเครื่องมือ Android SAST 11 ตัวและสร้างรายงานการตรวจจับที่สอดคล้องกัน (ไฟล์ CSV) สำหรับ APK เป้าหมาย

Ausera

Ausera เป็นเครื่องมืออัตโนมัติสำหรับการตรวจจับช่องโหว่ความปลอดภัยในแอพ Android เราได้ทำเครื่องมือและชุดข้อมูลมาตรฐานที่สอดคล้องกันที่เปิดเผยต่อสาธารณะ เราหวังว่าโครงการนี้จะเป็นประโยชน์ต่อนักวิจัยคนอื่น ๆ หรือผู้ดำเนินการ practiontiners ในสาขาการวิเคราะห์ความปลอดภัยของแอพ Android โปรดติดต่อเรา ([email protected]) หากคุณมีคำถามและปัญหาใด ๆ เราจะรักษาโครงการนี้ต่อไป ขอบคุณสำหรับความคิดเห็นของคุณ

การกำหนดค่าสภาพแวดล้อม

  • Ubuntu/MacBook
  • Python: (ทั้ง 2 และ 3 น่าจะดี)
  • apktool: 2.6.1 (โปรดใช้ ApkTool เวอร์ชันใหม่ล่าสุด), REF: APKTOOL คำแนะนำการติดตั้ง
  • Java Environment (JDK): JDK1.8.0_45 export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_45 ติดตั้ง Android Sdk, Ref: SdkManager บน Mac SDK จะถูกบันทึกใน ~/Library/Android/sdk/platforms
  • เปิด ~/.bashrc และกำหนดค่าเส้นทางของ JDK และ SDK (แทนที่ด้วยเส้นทางของคุณเอง): 
 export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_45
export JAVA_BIN=/usr/lib/jvm/jdk1.8.0_45/bin
export CLASSPATH=.:${JAVA_HOME}/lib/dt.jar:${JAVA_HOME}/lib/tools.jar
export PATH=$PATH:${JAVA_HOME}/bin
export PATH=$PATH:/home/dell/Android/Sdk/tools
export PATH=$PATH:/home/dell/Android/Sdk/platform-tools
export PATH=$PATH:/home/dell/Android/Sdk/emulator
export JAVA_HOME JAVA_BIN CLASSPATH PATH

บันทึกการดำเนินการ

https://youtu.be/sfuk3b3iueu

การใช้งาน

กรุณาใส่ไฟล์ APK เป้าหมายภายใต้การทดสอบไปยังโฟลเดอร์ apks

รายงานเอาท์พุทสามารถพบได้ใน engine-result/engine-report/apk_sha256_output.json

รูปแบบคำสั่ง:

python apk-engine.py [Repo_Path] [JAVA_HOME_Path] [SDK_Platform_Path]

ตัวอย่าง:

python2.7 apk-engine.py /media/dell/49fff1d2-ef19-4e4d-855b-4eca95be873a/dell/Tools/ausera-main/ /usr/lib/jvm/jdk1.8.0_45/ /media/dell/49fff1d2-ef19-4e4d-855b-4eca95be873a/dell/Tools/ausera-main/engine-configuration/libs/android-platforms/

เอาท์พุท 

 Public Id: BUG-A003-0001; 
Type: Security Bug; 
Risk Level: High; 
Risk Score: 8;
Sub Type: SMS data leakage; // App vulnerability type
Description: The app sends an SMS attached with the sensitive data (in plaintext) to authenticate that user, but the data is stored in the SMS outbox unexpectedly. If an adversary registers a content observer to the SMS outbox on the mobile device with some permissions, the user's sensitive data can be easily intercepted by the adversary who impersonates that user to manipulate her legitimate banking account.
Location: Found a flow to sink virtualinvoke $r10.<android.telephony.SmsManager: void sendTextMessage(), from the following sources: $r5 = virtualinvoke $r4.<android.widget.EditText: android.text.Editable getText()>() (in <com.globe.gcash.android.activity.transaction.RegistrationTransactionActivity: void doNext()>) 
=> RegistrationTransactionActivity;doNext();$r4;$r5 // Activity, Method, Variables logging
==> pin;firstName;lastName;addr // Sensitive data tagging
Patch Method: Avoid sending sensitive data via SMS and store the sensitive data in the SMS outbox accordingly.

เอกสาร

[1] Ausera: การประเมินความเสี่ยงด้านความปลอดภัยอัตโนมัติสำหรับการตรวจจับช่องโหว่ในแอพ Android 

 @inproceedings{chen2022ausera,
  title={AUSERA: Automated Security Risk Assessment for Vulnerability Detection in Android Apps},
  author={Chen, Sen and and Zhang, Yuxin and Fan, Lingling and Li, Jiaming and Liu, Yang},
  booktitle={ASE},
  year={2022}
}

[2] การประเมินเชิงประจักษ์ของความเสี่ยงด้านความปลอดภัยของแอพธนาคาร Android ทั่วโลก 

 @inproceedings{chen2019ausera,
  title={An Empirical Assessment of Security Risks of Global {Android} Banking Apps},
  author={Chen, Sen and Fan, Lingling and Meng, Guozhu and Su, Ting and Xue, Minhui and Xue, Yinxing and Liu, Yang and Xu, Lihua},
  booktitle={ICSE},
  year={2020}
}

[3] แอพธนาคารมือถือมีความปลอดภัยหรือไม่? สามารถปรับปรุงอะไรได้บ้าง? 

 @inproceedings{chen2018mobile,
  title={Are mobile banking apps secure? {What} can be improved?},
  author={Chen, Sen and Su, Ting and Fan, Lingling and Meng, Guozhu and Xue, Minhui and Liu, Yang and Xu, Lihua},
  booktitle={ESEC/FSE},
  year={2018}
}

ติดต่อ

Sen Chen ทั้งหมดลิขสิทธิ์สงวนไว้

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด