Show simple item record

Αυτοματοποιημένος έλεγχος ασφαλείας του Android API μέσω fuzzing

dc.contributor.advisorΠατσάκης, Κωνσταντίνος
dc.contributor.authorΠουλάκη, Βασιλική
dc.date.accessioned2019-02-19T10:57:57Z
dc.date.available2019-02-19T10:57:57Z
dc.date.issued2018-12
dc.identifier.urihttp://dione.lib.unipi.gr/xmlui/handle/unipi/11867
dc.description.abstractΗ ανάπτυξη της τεχνολογίας των έξυπνων κινητών τηλεφώνων, καθώς και η αλματώδης εξέλιξη των λειτουργικών συστημάτων τους, δημιουργούν τεράστιες δυνατότητες στους προγραμματιστές για ανάπτυξη εφαρμογών. Ταυτόχρονα όμως τα λειτουργικά αυτά συστήματα εκτίθενται σε κινδύνους έναντι κακόβουλων λογισμικών. Η διεπαφή που παρέχει το λειτουργικό σύστημα Android της Google στους προγραμματιστές για ανάπτυξη εφαρμογών ανανεώνεται συνεχώς, παρέχοντας ποικίλες δυνατότητες αξιοποίησης των λειτουργικοτήτων της συσκευής. Το γεγονός αυτό σε συνδυασμό με την οικονομική προσιτότητα των κινητών συσκευών Android έχει εκτοξεύσει την αγορά της ανάπτυξης εφαρμογών που υλοποιούνται για το συγκεκριμένο λειτουργικό σύστημα, αλλά ταυτόχρονα έχει ανοίξει διόδους εκμετάλευσης αυτών με κακόβουλο σκοπό. Το σύστημα παροχής αδειών του Android στις εφαρμογές τρίτων προκειμένου αυτές να αποκτήσουν πρόσβαση στα πιο ευαίσθητα δεδομένα του κινητού ή σε σημαντικούς πόρους του υλισμικού, αποτελεί ένα από τα βασικά μέτρα ασφαλείας του συστήματος. Το εν λόγω σύστημα αναβαθμίστηκε τον Οκτώβριο του 2015, έτσι ώστε ο χρήστης να αποκτήσει μεγαλύτερη επίβλεψη της πρόσβασης αυτής, με την έγκριση της να γίνεται σε πραγματικό χρόνο κατά τη χρήση της εφαρμογής και όχι μόνο στην αρχική εγκατάσταση. Παρά τη βελτίωση αυτή, δεν επιλύθηκαν όλα τα θέματα ασφαλείας της συσκευής και προστασίας της ιδωτικότητας των χρηστών. Συγκεριμένα, η χρήση της διεπαφής του Android API που θα γίνει έπειτα από τους προγραμματιστές εφαρμογών ενέχει νέους κινδύνους και θα πρέπει να έχουν προβλεφτεί μέτρα περιορισμού της. Για το λόγο αυτό η Google που εξελίσσει το Android προβαίνει σε καθημερινό αυτοματοποιημένο έλεγχο εκατοντάδων χιλιάδων εφαρμογών ως προς τη δυνατότητά τους να βλάψουν τις παραπάνω συσκευές για να προστατεύσει τους χρήστες. Στο πλαίσιο της παρούσας εργασίας αναπτύχθηκε με χρήση του Android SDK και της τεχνικής fuzzing η Android εφαρμογή XenonAutomated, η οποία χρησιμοποιήθηκε για τον έλεγχο ασφαλείας - κατά πόσο δηλαδή μπορεί μια εξωτερική εφαρμογή να κάνει ‘κακή’ ή ακραία χρήση - των διεπαφών προγραμματιστή Android από το API Level 21 έως το API Level 28. Τα αποτελέσματα που προέκυψαν παρατίθονται για να βρεθούν πιθανά συμπεράσματα.el
dc.format.extent35el
dc.language.isoenel
dc.publisherΠανεπιστήμιο Πειραιώςel
dc.rightsAttribution-NonCommercial-NoDerivatives 4.0 Διεθνές*
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/4.0/*
dc.titleΑυτοματοποιημένος έλεγχος ασφαλείας του Android API μέσω fuzzingel
dc.title.alternativeAutomated security testing of Android API using fuzzingel
dc.typeMaster Thesisel
dc.contributor.departmentΣχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικήςel
dc.description.abstractENToday, the vast evolution of the technology of smart devices and their operating systems is offering enormous potential for the development of the emerging industry producing applications appropriate for such devices. At the same time, the mobile operating systems become more and more exposed to the danger of malware. The Application Programming Interface provided by Google’s Android operating system to software developers undergoes often upgrades and evolves, offering multiple capabilities regarding the exploitation of the device resources. This, in conjunction with the fact that many Android devices are affordable in general, has caused the Android application development market to take off, giving a boost to malicious applications’ evolution too. The permissions system that Android operating system utilizes in order to give third party applications access to user’s sensitive data and vital systems resources of the device, is one of the fundamental security measures of this system. Since October of 2015 it has been upgraded so that the device’s end user has more visibility over that access, by granting the permissions at the point of the actual usage of the respective feature by the applications, instead of once at installation time. However, not all potential security dangers have been eliminated by this enhancement. Moreover, the further usage of the Android API by the application programmers poses new risks, and the platform should be designed to enforce its own proper use. For this reason, in order to protect users, Google for Android uses automated ways for the daily evaluation of hundreds of thousands of applications, regarding their ability to potentially harm the devices. Under the context of this work, the fuzzing test tool XenonAutomated was developed and used for an extended security check of possible ‘extreme’ or ‘bad’ usage of the Android API levels from 21 to 28. The results of this test work are presented hereby.el
dc.contributor.masterΠληροφορικήel
dc.subject.keywordAndroidel
dc.subject.keywordSecurityel
dc.subject.keywordFuzzingel
dc.subject.keywordReflectionel
dc.subject.keywordAutomated testingel
dc.subject.keywordMalwareel
dc.date.defense2019-01


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record

Attribution-NonCommercial-NoDerivatives 4.0 Διεθνές
Except where otherwise noted, this item's license is described as
Attribution-NonCommercial-NoDerivatives 4.0 Διεθνές

Βιβλιοθήκη Πανεπιστημίου Πειραιώς
Contact Us
Send Feedback
Created by ELiDOC
Η δημιουργία κι ο εμπλουτισμός του Ιδρυματικού Αποθετηρίου "Διώνη", έγιναν στο πλαίσιο του Έργου «Υπηρεσία Ιδρυματικού Αποθετηρίου και Ψηφιακής Βιβλιοθήκης» της πράξης «Ψηφιακές υπηρεσίες ανοιχτής πρόσβασης της βιβλιοθήκης του Πανεπιστημίου Πειραιώς»