Специалисты ВМК МГУ создали средство для статического анализа безопасности мобильных приложений

Специалисты факультета вычислительной математики и кибернетики (ВМК) МГУ имени М. В. Ломоносова создали новый инструмент для оценки безопасности мобильных приложений, используя метод статического анализа. Об этом проинформировали CNews представители МГУ. Анализ мобильных клиентов становится всё более актуальным, поскольку современные онлайн-приложения активно используют их. Проверка защищённости серверных частей систем требует детального изучения схем взаимодействия, включая шаблоны HTTP-запросов, отправляемых мобильным приложением на сервер. Хотя для решения этой задачи уже применяются ручные методы и инструменты динамического анализа, полностью автоматизированных решений, работающих на основе статического анализа, до сих пор практически не было. Разработанный в ВМК МГУ инструмент позволяет извлекать шаблоны HTTP-запросов из Android-приложений с помощью статического анализа. Сейчас он поддерживает мобильные приложения, использующие библиотеку Retrofit для взаимодействия с сервером. Андрей Ситников, разработчик инструмента, выбрал фреймворк SootUp в качестве основы. Этот фреймворк предоставляет широкий спектр инструментов для анализа Java-кода, включая построение графа вызовов и более сложные алгоритмы. По словам Андрея Петухова, научного руководителя работы и сотрудника кафедры информационной безопасности ВМК МГУ, цель разработки заключалась в автоматизации части рутинной работы по сбору данных о взаимодействии мобильных приложений с сервером. Это особенно важно для исследователей безопасности, которым приходится вручную собирать информацию о поверхности атаки, что является долгим и сложным процессом. В ходе эксперимента учёные проверили применимость разработанного метода и инструмента на приложениях из топ-200 российского сегмента Google Play. Сравнение с результатами ручного анализа показало, что инструмент обнаруживает в среднем 67% всех запросов, включая 66% query-параметров и 75% параметров из тел запросов. Хотя для заголовков запросов показатель оказался ниже (около 8%), учёные отмечают, что заголовки редко являются критически важными для поверхности атаки. Разработка может быть использована для автоматизации анализа защищённости онлайн-приложений с мобильными клиентами, повышения скорости и полноты определения поверхности атаки и выявления потенциальных уязвимостей. В будущем авторы планируют усовершенствовать инструмент, учитывая другие популярные библиотеки для HTTP-взаимодействия, а также улучшить алгоритмы статического анализа для повышения эффективности и точности работы инструмента.