М.В. Антонішин, О.І. Міснік, Василь Васильович Цуркан
{"title":"Способи тестування уразливостей мобільних програмних застосунків","authors":"М.В. Антонішин, О.І. Міснік, Василь Васильович Цуркан","doi":"10.18372/2073-4751.72.17455","DOIUrl":null,"url":null,"abstract":"Проаналізовано застосовність способів тестування уразливостей мобільних програмних застосунків. Показано їхню орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. Це зведено до застосування керівництва з тестування і стандарту верифікування безпеки мобільних програмних застосунків. За ними виокремлено статичний і динамічний способи тестування уразливостей. Водночас встановлено обмеженість практичного застосування даних способів у зв’язку з неоднозначною належністю сценаріїв до статичного або динамічного тестування, наприклад: експортованих компонентів, MSTG-STORAGE-6, нестандартних сертифікатів, сертифікату SSL-пінінгу, MSTG-NETWORK-4. Цим обумовлено актуальність аналізування застосовності способів тестування уразливостей мобільних програмних застосунків. Результатами існуючих досліджень підтверджено узагальнену орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. На їхній основі забезпечено повноту сценаріїв тестування і, як наслідок, сформульовано рекомендації для зменшення витоку конфіденційної інформації. Зосереджено увагу на протидії атакам критично важливих програмних застосунків. Окрему увагу приділено розширенню можливостей розроблених засобів тестування уразливостей використанням відповідних фреймворків. Виокремленими та дослідженими прикладами продемонстровано обмеженість застосування статичного та динамічного способів. Для цього продемонстровано, по-перше, використання відповідних інтрументальних засобів Drozer, MobSF, Xposed, Frida. По-друге, тестування обходженості механізмів забезпечення безпеки від перехоплення і дешифрування HTTP-трафіку, зокрема, SSL-пінінгу. Перш за все через складність однозначного як визначення, так і виявлення залежності між сценаріями тестування уразливостей мобільних програмних застосунків. Водночас встановлено некоректність окремого застосування динамічного способу тестування. Це обумовлено необхідністю комплексного виконання дій, зокрема, статичного сканування мобільного програмного застосунку, мануального аналізування вихідного коду фахівцем. Крім того використання додаткових фреймворків і розроблення окремих модулів тестування уразливостей.","PeriodicalId":315156,"journal":{"name":"Problems of Informatization and Management","volume":"509 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2022-12-15","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Problems of Informatization and Management","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.18372/2073-4751.72.17455","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
引用次数: 0
Abstract
Проаналізовано застосовність способів тестування уразливостей мобільних програмних застосунків. Показано їхню орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. Це зведено до застосування керівництва з тестування і стандарту верифікування безпеки мобільних програмних застосунків. За ними виокремлено статичний і динамічний способи тестування уразливостей. Водночас встановлено обмеженість практичного застосування даних способів у зв’язку з неоднозначною належністю сценаріїв до статичного або динамічного тестування, наприклад: експортованих компонентів, MSTG-STORAGE-6, нестандартних сертифікатів, сертифікату SSL-пінінгу, MSTG-NETWORK-4. Цим обумовлено актуальність аналізування застосовності способів тестування уразливостей мобільних програмних застосунків. Результатами існуючих досліджень підтверджено узагальнену орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. На їхній основі забезпечено повноту сценаріїв тестування і, як наслідок, сформульовано рекомендації для зменшення витоку конфіденційної інформації. Зосереджено увагу на протидії атакам критично важливих програмних застосунків. Окрему увагу приділено розширенню можливостей розроблених засобів тестування уразливостей використанням відповідних фреймворків. Виокремленими та дослідженими прикладами продемонстровано обмеженість застосування статичного та динамічного способів. Для цього продемонстровано, по-перше, використання відповідних інтрументальних засобів Drozer, MobSF, Xposed, Frida. По-друге, тестування обходженості механізмів забезпечення безпеки від перехоплення і дешифрування HTTP-трафіку, зокрема, SSL-пінінгу. Перш за все через складність однозначного як визначення, так і виявлення залежності між сценаріями тестування уразливостей мобільних програмних застосунків. Водночас встановлено некоректність окремого застосування динамічного способу тестування. Це обумовлено необхідністю комплексного виконання дій, зокрема, статичного сканування мобільного програмного застосунку, мануального аналізування вихідного коду фахівцем. Крім того використання додаткових фреймворків і розроблення окремих модулів тестування уразливостей.
京公网安备 11010802042870号
京ICP备2023020795号-1
分享
求助内容:
应助结果提醒方式:
扫码关注我们
