Способи тестування уразливостей мобільних програмних застосунків

Problems of Informatization and Management Pub Date : 2022-12-15 DOI:10.18372/2073-4751.72.17455

М.В. Антонішин, О.І. Міснік, Василь Васильович Цуркан

{"title":"Способи тестування уразливостей мобільних програмних застосунків","authors":"М.В. Антонішин, О.І. Міснік, Василь Васильович Цуркан","doi":"10.18372/2073-4751.72.17455","DOIUrl":null,"url":null,"abstract":"Проаналізовано застосовність способів тестування уразливостей мобільних програмних застосунків. Показано їхню орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. Це зведено до застосування керівництва з тестування і стандарту верифікування безпеки мобільних програмних застосунків. За ними виокремлено статичний і динамічний способи тестування уразливостей. Водночас встановлено обмеженість практичного застосування даних способів у зв’язку з неоднозначною належністю сценаріїв до статичного або динамічного тестування, наприклад: експортованих компонентів, MSTG-STORAGE-6, нестандартних сертифікатів, сертифікату SSL-пінінгу, MSTG-NETWORK-4. Цим обумовлено актуальність аналізування застосовності способів тестування уразливостей мобільних програмних застосунків. Результатами існуючих досліджень підтверджено узагальнену орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. На їхній основі забезпечено повноту сценаріїв тестування і, як наслідок, сформульовано рекомендації для зменшення витоку конфіденційної інформації. Зосереджено увагу на протидії атакам критично важливих програмних застосунків. Окрему увагу приділено розширенню можливостей розроблених засобів тестування уразливостей використанням відповідних фреймворків. Виокремленими та дослідженими прикладами продемонстровано обмеженість застосування статичного та динамічного способів. Для цього продемонстровано, по-перше, використання відповідних інтрументальних засобів Drozer, MobSF, Xposed, Frida. По-друге, тестування обходженості механізмів забезпечення безпеки від перехоплення і дешифрування HTTP-трафіку, зокрема, SSL-пінінгу. Перш за все через складність однозначного як визначення, так і виявлення залежності між сценаріями тестування уразливостей мобільних програмних застосунків. Водночас встановлено некоректність окремого застосування динамічного способу тестування. Це обумовлено необхідністю комплексного виконання дій, зокрема, статичного сканування мобільного програмного застосунку, мануального аналізування вихідного коду фахівцем. Крім того використання додаткових фреймворків і розроблення окремих модулів тестування уразливостей.","PeriodicalId":315156,"journal":{"name":"Problems of Informatization and Management","volume":"509 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2022-12-15","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Problems of Informatization and Management","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.18372/2073-4751.72.17455","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

Проаналізовано застосовність способів тестування уразливостей мобільних програмних застосунків. Показано їхню орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. Це зведено до застосування керівництва з тестування і стандарту верифікування безпеки мобільних програмних застосунків. За ними виокремлено статичний і динамічний способи тестування уразливостей. Водночас встановлено обмеженість практичного застосування даних способів у зв’язку з неоднозначною належністю сценаріїв до статичного або динамічного тестування, наприклад: експортованих компонентів, MSTG-STORAGE-6, нестандартних сертифікатів, сертифікату SSL-пінінгу, MSTG-NETWORK-4. Цим обумовлено актуальність аналізування застосовності способів тестування уразливостей мобільних програмних застосунків. Результатами існуючих досліджень підтверджено узагальнену орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. На їхній основі забезпечено повноту сценаріїв тестування і, як наслідок, сформульовано рекомендації для зменшення витоку конфіденційної інформації. Зосереджено увагу на протидії атакам критично важливих програмних застосунків. Окрему увагу приділено розширенню можливостей розроблених засобів тестування уразливостей використанням відповідних фреймворків. Виокремленими та дослідженими прикладами продемонстровано обмеженість застосування статичного та динамічного способів. Для цього продемонстровано, по-перше, використання відповідних інтрументальних засобів Drozer, MobSF, Xposed, Frida. По-друге, тестування обходженості механізмів забезпечення безпеки від перехоплення і дешифрування HTTP-трафіку, зокрема, SSL-пінінгу. Перш за все через складність однозначного як визначення, так і виявлення залежності між сценаріями тестування уразливостей мобільних програмних застосунків. Водночас встановлено некоректність окремого застосування динамічного способу тестування. Це обумовлено необхідністю комплексного виконання дій, зокрема, статичного сканування мобільного програмного застосунку, мануального аналізування вихідного коду фахівцем. Крім того використання додаткових фреймворків і розроблення окремих модулів тестування уразливостей.

查看原文本刊更多论文

求助全文

约1分钟内获得全文求助全文

来源期刊

Problems of Informatization and Management

自引率

0.00%

发文量