Способи тестування уразливостей мобільних програмних застосунків
DOI:
https://doi.org/10.18372/2073-4751.72.17455Ключові слова:
мобільний програмний застосунок, тестування уразливостей, OWASP MSTG, OWASP MASVS, статичний спосіб тестування уразливостей, динамічний спосіб тестування уразливостейАнотація
Проаналізовано застосовність способів тестування уразливостей мобільних програмних застосунків. Показано їхню орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. Це зведено до застосування керівництва з тестування і стандарту верифікування безпеки мобільних програмних застосунків. За ними виокремлено статичний і динамічний способи тестування уразливостей. Водночас встановлено обмеженість практичного застосування даних способів у зв’язку з неоднозначною належністю сценаріїв до статичного або динамічного тестування, наприклад: експортованих компонентів, MSTG-STORAGE-6, нестандартних сертифікатів, сертифікату SSL-пінінгу, MSTG-NETWORK-4. Цим обумовлено актуальність аналізування застосовності способів тестування уразливостей мобільних програмних застосунків. Результатами існуючих досліджень підтверджено узагальнену орієнтованість на задоволення настанов відкритого проєкту забезпечення безпеки вебзастосунків. На їхній основі забезпечено повноту сценаріїв тестування і, як наслідок, сформульовано рекомендації для зменшення витоку конфіденційної інформації. Зосереджено увагу на протидії атакам критично важливих програмних застосунків. Окрему увагу приділено розширенню можливостей розроблених засобів тестування уразливостей використанням відповідних фреймворків. Виокремленими та дослідженими прикладами продемонстровано обмеженість застосування статичного та динамічного способів. Для цього продемонстровано, по-перше, використання відповідних інтрументальних засобів Drozer, MobSF, Xposed, Frida. По-друге, тестування обходженості механізмів забезпечення безпеки від перехоплення і дешифрування HTTP-трафіку, зокрема, SSL-пінінгу. Перш за все через складність однозначного як визначення, так і виявлення залежності між сценаріями тестування уразливостей мобільних програмних застосунків. Водночас встановлено некоректність окремого застосування динамічного способу тестування. Це обумовлено необхідністю комплексного виконання дій, зокрема, статичного сканування мобільного програмного застосунку, мануального аналізування вихідного коду фахівцем. Крім того використання додаткових фреймворків і розроблення окремих модулів тестування уразливостей.
Посилання
Антонішин М.В., Міснік О.І., Цуркан В.В. Оцінювання стану захищеності програмних застосунків операційної системи Android за методологією OWASP Mobile TOP 10. Моделювання та інформаційні технології. – 2018. – Вип. 82. – С. 94-101.
Antonishyn M., Misnik O. Analysis of testing approaches to Android mobile application vulnerabilities. Information Technologies and Security. – Vol. 2577. – Aachen, Germany, 2019. – P. 270-280.
Antonishyn M. Mobile applications vulnerabilities testing model. Information Technology and Security. January - June 2020. – Vol. 8. – Iss. 1 (14). – P. 49-57.
OWASP Mobile Application Security Testing Guide. URL: https://github.com/ OWASP/owasp-mstg/.
OWASP Mobile security verification standard. URL: https://github.com/OWASP/owasp-masvs/.
NIST 800-163. Vetting the Security of Mobile application. [Valid from 2019-04-19]. DOI: https://doi.org/10.6028/NIST. SP.800-163r1.
Lin HY., Chang HC., Su YC. The Study of Improvement and Risk Evaluation for Mobile Application Security Testing. Security with Intelligent Computing and Big-data Services / SL. Peng, SJ. Wang, V. Balas, M. Zhao. Cham: Springer, 2018. – Vol. 733. – P. 248-256.
Oyetoyan T., Milosheska B., Grini M., Soares Cruzes D. Myths and Facts About Static Application Security Testing Tools: An Action Research at Telenor Digital. Agile Processes in Software Engineering and Extreme Programming / J. Garbajosa, X. Wang, A. Aguiar. Cham: Springer, 2018. – Vol. 314. – P. 86-103.
Malek S., Bagheri H., Garcia J., Sadeghi A. Security and Software Engineering. Handbook of Software Engineering / S. Cha, R. Taylor, K. Kang. Cham: Springer, 2019. – P. 445-489.
Mejía J., Maciel P., Muñoz M., Quiñonez Y. Frameworks to Develop Secure Mobile Applications: A Systematic Literature Review. Trends and Innovations in Information Systems and Technologies / Á. Rocha, H. Adeli, L. Reis, S. Costanzo, I. Orovic, F. Moreira. Cham: Springer, 2020. – Vol. 1160. - P. 137-146.
Rahalkar S. Testing Mobile Apps and APIs with Burp Suite. A Complete Guide to Burp Suite. Berkeley: Apress, 2021. – P. 147-164.
Tran AD., Nguyen MQ., Phan GH., Tran MT. Security Issues in Android Application Development and Plug-in for Android Studio to Support Secure Programming. Future Data and Security Engineering / T.K. Dang, J. Küng, T.M. Chung, M. Takizawa. Cham: Springer, 2021. – Vol. 1500. – P. 105-122.
Ogundokun R.O., Misra S., Segun-Owolabi T., Gulanikar A.A., Agrawal A., Damasevicius R. A Web Application Vulnerability Testing System. Recent Innovations in Computing / P.K. Singh, Y. Singh, J.K. Chhabra, Z. Illés, C. Verma. Cham: Springer, 2022. – Vol. 855. – P. 741-751.
Міснік О.І., Антонішин М.В., Цуркан В.В. Аналіз якості роботи сканерів уразливостей веб-застосунків. Моделювання та інформаційні технології. – 2018. – Вип. 83. – С. 77-86.
Luo Y., Wan J., She S. Software Security Vulnerability Mining Based on Deep Learning. Application of Intelligent Systems in Multi-modal Information Analytics / V. Sugumaran, A.G. Sreedevi, Z. Xu. Cham: Springer, 2022. – Vol. 136. – P. 536-543.
Drozer user guide. URL: https://labs. f-secure.com/assets/BlogFiles/mwri-drozer-user- guide-2015-03-23.pdf.
MobSF Documentation. URL: https://mobsf.github.io/docs/#/.
Хposed Framework implementation. URL: https://github.com/topics/xposed-framework.
Frida. URL: https://github.com/frida.
Antonishyn M. Four ways to bypass Android SSL. Verification and Certificate Pinning. International Scientific Journal “Transfer of Innovative Technologies”. – 2020. – Vol. 3. – No. 1. – P. 96-99.
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).
