製品名：An Automated Static Vulnerability Detection System for Android Applications

　　　　Android アプリケーション静的自動検出システム

　　　　Android 應用程式靜態自動化檢測系統

大学名： National Tsing Hua University (NTHU)

　　　　清華大学 孫宏民教授研修室■分類：ICT

製品紹介：

■分類：ICT／セキュリティ／ソフトウェア

■特徴

１．完全なリスク特性の検出、プロジェクトには OWASP、CSA、NIST、App Basic Information Security Testing Benchmarkv3.1 が含まれます。

２．高精度で自動化された静的検出技術

３．高速で完全なデータ収集及び分析レポート、Android デバイスのすべてのアプリに適する（モバイル銀行アプリなど）

1.Complete risk characterization detection, project includes OWASP, CSA, NIST, App Basic Information Security Testing Benchmark v3.1.

2.High-precision and automated-assisted static detection technology.

3.Fast and complete data collection and analysis reports. Suitable for all APPs in Android devices, e.g. Mobile Bank APPs

■解説

　このシステムは最初にリバースエンジニアリングを実行してコードを取得し、次に検出を実行し、次にソースコードスキャンツールを使用してスキャンし、手動分析を実行する。アプリケーションの APK ファイルを逆アセンブルしてスキャンすることにより、コードがシステムに組み込まれている機能と比較され、リスクを伴う可能性のあるコードフラグメントが検出される。

　このシステムを使用して、国内外のモバイルバンキング、証券取引、その他のアプリを検出。（図 1）アプリの主な一般的な弱点は、SSL 接続を使用しないこと、さらに Webview が addJavascriptInterface を介して RCE の脆弱性を引き起こす可能性があること。証券取引アプリの一部 ImplicitIntent の使用を検出。この技術を利用することには一定のリスクがあり、応答して開始するサービスが悪意のあるプログラムである場合、ユーザーにデータ漏えいのリスクを引き起こす可能性がある。

 Frist, The system performs reverse engineering to obtain the code and then performs analysis. Then system scans it with a source code

scanning tool and then analyzes it manually. Scan the APK file of the application after disassembling. The code is compared with the

features built into the system to find out the code fragments that may be risky.

 We used the system to analyze domestic and foreign mobile banks, securities trading APP, etc.(figure 1.). The main common

weaknesses of Apps is that it dose not use SSL connection and Webview may cause RCE vulnerability by addJavascriptInterface. In

addition, securities trading APPs were detected to use Implicit Intent. There is a certain risk in using this technology. If the service that

responds is a malicious program, it may cause the risk of data leakage to the user.