شماره ركورد
24144
شماره راهنما
IT2 139
عنوان
تشخيص نشت اطلاعات بينمؤلفهاي و درونمؤلفهاي در برنامههاي اندرويدي به كمك فنون تجهيز كد
مقطع تحصيلي
كارشناسي ارشد
رشته تحصيلي
مهندسي كامپيوتر- رايانش امن
دانشكده
مهندسي كامپيوتر
تاريخ دفاع
1403/08/23
صفحه شمار
86 ص.
استاد راهنما
دكتر بهروز ترك لاداني
كليدواژه فارسي
برنامهي اندرويدي , نشت اطلاعات , مقياسپذيري , تجهيز كد , حوزهي درونمؤلفهاي , ارتباط بينمؤلفهاي
چكيده فارسي
امروزه سيستمعامل اندرويد يكي از سكوهاي پرطرفدار و محبوب در ميان كاربران تلفنهاي هوشمند است. واضح است كه سودرساني قابل توجه سيستمعامل اندرويد، نميتواند لزوماً تضمينكنندهي امنيت كاربران نيز باشد. بسياري از برنامههاي اندرويدي به منظور خدمترساني به كاربران، به مجموعهاي از اطلاعات حساس آنها در تلفن هوشمند نياز دارند. بهرهگيري از اين دادهها به صورتي كه مورد رضايت كاربر و خواسته او نباشد، نشاندهنده نقض حريم خصوصي وي است. از اين رو، يكي از مهمترين تهديدهاي امنيتي اين حوزه، نشت اطلاعات كاربران است. به ويژه با افزايش اندازه برنامههاي كاربردي، دستيابي به روش هاي مقياس پذير براي تشخيص نشت اطلاعات موضوعي چالشي محسوب مي شود. پژوهشهاي بسياري روي تشخيص نشت اطلاعات در برنامه هاي كاربردي اندرويدي تمركز كردهاند اما توجه اندكي به معيار مقياسپذيربودن شيوههاي پيشنهادي شده است كه اين موضوع، كاربرد ابزار براي برنامههاي با اندازه قابلتوجه را تحت تأثير قرار ميدهد.
هدف اين پژوهش، تشخيص مسئله نشت اطلاعات در برنامههاي اندرويدي در دو سطح درونمؤلفهاي و بينمؤلفهاي با ارائهي رويكردي مقياسپذير است به گونهاي كه بتوان در محيط آزمايشگاهي، وجود يا عدم وجود اين قبيل آسيبپذيري¬ها را در يك برنامه منتشر شده، بررسي كرد. در همين راستا دو مرحله كلي براي پژوهش منظور شدهاست. در مرحله اول، بستر لازم براي لحاظكردن دسته¬اي از منابع بهعنوان نقطه آغازين يك مسير نشت اطلاعات را فراهم كردهايم. در اين بخش فن تجهيز كد، رويكرد مورد استفاده خواهد بود. در مرحله دوم، دنبالكردن دادهي حساس به كمك روند تحليل لكه به صورت مقياسپذير را مدنظر قرار دادهايم. از آنجا كه گرافمحور بودن تحليلها از دلايل اصلي ضعف مقياس پذيري در كارهاي قبلي محسوب ميشود، ما در اين مرحله با بهره¬گيري از شيوهي جايگزين مقياسپذيري كه در ابزار BackDroid ارائه شده، تحليل لكه را انجام مي¬دهيم. تركيب اين دو مرحله با يكديگر موجب حذف واسطهگري گراف در تحليل و ارائهي معماري جستجومحور پژوهش حاضر خواهد بود. رويكرد اين پژوهش براي ارزيابي، انتخاب تصادفي 21 برنامه از مخزن F-Droid براي مقياسپذيري، 20 برنامه از فروشگاه گوگلپلي براي نمايش كارايي مرحله تجهيز كد و 89 برنامه از برنامههاي محك DroidBench براي سنجش دقت است. نتايج نشاندهندهي عملكرد صحيح ابزار در كدهاي بزرگ و دقتي قابل قبول است. بهعلاوه ارزشمندي مرحله تجهيز كد بهكاررفته نيز قابلتوجه است.
كليدواژه لاتين
Static Analysis , Information Leakage , Instrumentation , Scalability , Intra-component , Inter-component
عنوان لاتين
Inter-component and Intra-component information leakage detection in Android applications using code instrumentation techniques
گروه آموزشي
مهندسي فناوري اطلاعات
چكيده لاتين
Today, smartphones that use the Android platform have become widespread. In addition to the advantages, this capacity has also has created threats for users. One of these threats is the leakage of sensitive user information. Data leakage is a well-known security vulnerability in Android applications. Data leakage means transferring and sending the userʹs important data through paths in the program that the user does not know about it, while it is against his/her consent. On the other hand, the size of programs is increasing significantly. At this point, there is a strong need for tools that can overcome the challenges of large-scale Android applications and detect data leakage vulnerability. The focus of researches on the issue of accuracy in leakage detection has prevented them to pay attention to other criteria such as scalability. Perhaps one of the most important elements that hinders the improvement of this criterion is the use of various graphs and the analysis process based on them.
In this research, we have presented a static and scalable approach so that we can detect information leakage in two contexts of inter-component and intra-component. For this purpose, we used the BackDroid analysis tool, which uses a targeted search method in the program space, as an underlying platform. This tool eliminates the intermediation of the graph in the analysis and makes the analysis process faster by providing a basic search method. In this regard, we have taken the advantage of code instrumentation techniques to increase the efficiency and productivity of the tool. This technique is able to include instructions in the code to simplify the analysis. The results of the evaluation of the tool using 20 selected applications from the Google Play store, 21 applications from F-Droid repository and 89 apps from DroidBench platform show that information leakage in this tool is done with appropriate accuracy while outperforms the rival tools regarding the scalability.
سازمان طرف قرارداد
شركت توسعه و پشتيباني فناوري و نوآوري فولاد مباركه
تعداد فصل ها
6
فهرست مطالب pdf
94372
نويسنده