Поделиться
Ученые ВМК МГУ разработали инструмент для анализа защищенности мобильных приложений с помощью статического анализа
Исследователи факультета ВМК МГУ имени М.В. Ломоносова предложили новый подход к автоматизированному сбору информации о сетевых запросах мобильных приложений. Об этом CNews сообщили представители МГУ.
Современные онлайн-приложения все чаще используют мобильные клиенты, и их анализ становится ключевым элементом при проверке защищенности серверных частей систем. Особенно важно выявлять схемы взаимодействия — например, шаблоны HTTP-запросов, которые мобильное приложение отправляет на сервер. Традиционно эта задача решается либо вручную, либо с помощью инструментов динамического анализа, однако полностью автоматизированных решений, способных работать статически, пока практически не существовало.
Разработанный ВМК МГУ инструмент позволяет с помощью статического анализа извлекать из Android-приложений шаблоны HTTP-запросов. На данный момент поддерживаются мобильные приложения, использующие для взаимодействия с сервером популярную библиотеку Retrofit. Андрей Ситников, разработчик инструмента, выбрал за основу фреймворк для статического анализа SootUp, который предоставляет богатый инструментарий для анализа Java-кода — от построения графа вызовов до более сложных алгоритмов.
«Наша цель заключалась в том, чтобы автоматизировать хотя бы часть рутинной работы по извлечению данных о взаимодействии мобильных приложений с сервером. Особенно это важно для исследователей безопасности, которым приходится вручную собирать поверхность атаки — а это долго и сложно», — сказал Андрей Петухов научный руководитель работы, сотрудник кафедры информационной безопасности ВМК МГУ.
В рамках эксперимента исследователи оценили применимость разработанного метода и средства на приложениях из топ-200 российского сегмента Google Play. Сравнение с результатами ручного анализа показало, что инструмент находит в среднем 67% всех запросов, включая 66% query-параметров и 75% параметров из тел запросов. Хотя для заголовков запросов показатель оказался ниже (около 8%), учёные подчёркивают, что заголовки редко входят в критическую часть поверхности атаки.
Разработка может быть использована для автоматизации анализа защищенности онлайн приложений с мобильными клиентами, повышения скорости и полноты определения поверхности атаки, а значит и полноты выявления потенциальных уязвимостей. В перспективе авторы планируют доработать инструмент с учётом других популярных библиотек для HTTP-взаимодействия, а также усовершенствовать алгоритмы статического анализа для повышения полноты и точности работы инструмента.
Поделиться
Короткая ссылка
