製品名：An Automated Dynamic Vulnerability Detection System for Android Applications

　　　　Android アプリケーション動的自動脆弱性検出システム

　　　　Android 行動裝置應用程式安全動態自動化檢測系統

大学名： National Tsing Hua University (NTHU)

　　　　清華大学 孫宏民教授研修室

■分類：ICT／セキュリティ／ソフトウェア

製品紹介：

■特徴

１.完全なリスク機能検出。プロジェクトには OWASP-MSTG、CVE、MAST、アプリの基本情報セキュリティ検出ベンチマーク v3.1 が含まれる

２.高いカバレッジと自動動的検出テクノロジー

３.完全なデータ収集および分析レポート

４.モバイルバンキングアプリなど、Android デバイス上のさまざまなアプリに適用できる

1.A completed set of vulnerability features detection, including OWASP-MSTG, CVE, MAST, App Basic Information Security

Testing Guide v3.1.

2.High coverage and automated dynamic analysis technology.

3.Completed data collection and analysis report.

4.Suitable for all APPs in Android devices, e.g. Mobile Bank APPs

■解説

　このシステムは Android アプリケーション向けの動的検出システム。プログラムは検出コードを逆アセンブルして挿入することで実行される。実行中にログファイルが収集され、システム内の自動分析と構築のために別のプログラムに送信される。特性が比較され、リスクを伴う可能性のある実行フラグメントを見つけるため。

　このシステムを使用して、国内外のモバイルバンキング、モバイル決済、e コマースアプリを検出。（図１）ほとんどのアプリはスクリーンショットを妨げないことを確認済。携帯電話がハッカーによって制御されている場合は、機密データのスクリーンショットを簡単に撮って送信可能。見落としがちな他の問題、たとえば一般的な Web ビューでは JavaScript を有効にできるため、クロスサイトスクリプティング攻撃や MD5 や SHA-1 などの安全でないハッシュ関数の使用につながる可能性がある。

　This system is a dynamic analysis tool for Android Applications, by using reverse-engineering technique and Inserting the Check code for detection. During detection, Log files are collected and be sent to another program which can automating analysis. Meanwhile,compare with these risky features in order to identify the vulnerability code segment.

　We used this system for domestic and foreign mobile backing, payment, E-commerce App, etc., to inspect their vulnerabilities (figure 1.).It is found that most of the APPs didn’t restrict screenshot option. If the mobile is controlled by hackers, hackers can easily intercept sensitive data and send it. Furthermore, here is some issue which we easily ignored.E.g. Webview allows javascript execution, which may lead to cross-site scripting attacks, and using insecure hash function such as MD5, SHA-1, etc.