Details

Целью работы является разработка подхода к выявлению уязвимостей программного компонента WebView. Объектом исследования является выборка Android-приложений. Задачи, решаемые в ходе исследования: 1. Проанализировать характерные для Android уязвимости. 2. Провести анализ существующих методов оценки безопасности Android-приложений. 3. Сформировать выборку Android-приложений для исследования. 4. Построить модель угроз приложений c программным компонентом WebView. 5. Разработать подход для оценки безопасности программного компонента WebView. 6. Разработать прототип для оценки безопасности программного компонента WebView и оценить его эффективность на сформированной выборке Android-приложений. Было проведено исследование архитектуры и особенностей реализации компонента WebView в Android-приложениях, а также механизмов его взаимодействия с другими частями системы. Особое внимание уделялось анализу рисков, связанных с обработкой внешнего веб-контента в условиях ограниченного контроля над источниками данных. Были проанализированы современные исследования в области обеспечения безопасности Android-приложений. В результате работы было разработано средство поиска программных дефектов в Android-приложениях, была продемонстрирована эффективность средства. Был сделан вывод, что вопрос обеспечение безопасности программного компонента WebView мало изучен. Полученные результаты могут быть использованы в качестве основы для построения автономного средства обнаружения уязвимостей в APK Android-приложений: не только для программного компонента WebView, но и для других уязвимых компонентов приложений; также средство может быть использовано для предоставления любительских, а в последствии, и сертифицированных услуг по оценке безопасности Android-приложений для разработчиков. Для достижения поставленных целей была разработана программа, использующая инструменты статического анализа FlowDroid и Jadx, а также язык программирования Python, для автоматизированного извлечения и анализа Java-байткода Android-приложений. Разработка ориентирована на выявление потенциальных уязвимостей WebView без необходимости доступа к исходному коду.

The purpose of the study is to develop an approach for detecting vulnerabilities in the WebView software component. The object of the research is a sample of Android applications. The following tasks were set during the research: 1. Analyze typical vulnerabilities inherent in Android applications. 2. Review existing methods for evaluating the security of Android applications. 3. Form a representative sample of Android applications for analysis. 4. Construct a threat model for applications using the WebView component. 5. Develop an approach for assessing the security of the WebView component. 6. Implement a prototype for evaluating the security of the WebView component and evaluate its effectiveness on the selected sample of Android applications. The architecture and implementation features of the WebView component in Android applications were studied, including its interaction with other system components. Special attention was paid to analyzing risks associated with the handling of external web content under conditions of limited control over data sources. Current research in the field of Android application security was also reviewed. As a result of the work, a software tool for detecting programming defects in Android applications was developed, and its effectiveness was demonstrated. It was concluded that the issue of WebView component security remains underexplored. The results obtained can serve as a foundation for creating an autonomous vulnerability detection tool for Android APKs — not only for WebView, but for other vulnerable components as well. Furthermore, the tool can be used to provide amateur, and eventually certified, Android application security evaluation services for developers. To achieve these goals, a program was developed using the FlowDroid and Jadx static analysis tools, as well as the Python programming language, to automate the extraction and analysis of Java bytecode in Android applications. The implementation is focused on identifying potential WebView vulnerabilities without requiring access to source code.