Marinaci, Diego
(2022)
Individuazione di vulnerabilità nelle librerie di terze parti in applicazioni Android e iOS.
[Laurea magistrale], Università di Bologna, Corso di Studio in
Ingegneria informatica [LM-DM270], Documento full-text non disponibile
Il full-text non è disponibile per scelta dell'autore.
(
Contatta l'autore)
Abstract
Nello sviluppo di un’applicazione mobile, sia essa destinata alla piattaforma Android o iOS, vengono spesso utilizzate librerie di terze parti (Third-Party Libraries o TPLs) in quanto esse consentono di ridurre notevolmente i tempi di sviluppo. Tuttavia, il loro impiego può introdurre anche diversi rischi di sicurezza e, per questo motivo, negli ultimi anni sono state sviluppate diverse tecniche e metodologie allo scopo di identificare le TPLs all’interno di software compilati senza disporre del loro codice sorgente. Queste informazioni possono essere utilizzate, manualmente o tramite ulteriori strumenti, per poter verificare l’eventuale presenza di librerie con vulnerabilità di sicurezza note, ossia presenti nel Common Vulnerabilities and Exposures (CVE). Il lavoro svolto fino ad oggi, sia in campo commerciale che accademico, ha avuto come focus principale il mondo del software desktop e server.
Questo lavoro si è posto lo stesso obiettivo sia per Android, sia per iOS: creare un tool capace di analizzare staticamente il pacchetto binario di un’applicazione e individuare le vulnerabilità associate alle TPLs incluse in essa, senza disporre del suo codice sorgente. Per le applicazioni Android e iOS, questo lavoro è partito dalla ricerca e dall’analisi dello stato dell’arte, individuando pregi e difetti di metodologie e software attualmente disponibili per l’individuazione delle TPLs rispettivamente in un file apk o ipa, per poi proseguire con analoghe ricerche rispetto alle tecniche per rintracciare eventuali vulnerabilità associate ad una libreria; infine, è stato progettato e creato uno strumento che, tramite l’integrazione e l’orchestrazione di alcuni dei tool individuati nelle fasi precedenti e tramite la produzione di codice originale, svolge entrambi i compiti in maniera completamente automatizzata.
Abstract
Nello sviluppo di un’applicazione mobile, sia essa destinata alla piattaforma Android o iOS, vengono spesso utilizzate librerie di terze parti (Third-Party Libraries o TPLs) in quanto esse consentono di ridurre notevolmente i tempi di sviluppo. Tuttavia, il loro impiego può introdurre anche diversi rischi di sicurezza e, per questo motivo, negli ultimi anni sono state sviluppate diverse tecniche e metodologie allo scopo di identificare le TPLs all’interno di software compilati senza disporre del loro codice sorgente. Queste informazioni possono essere utilizzate, manualmente o tramite ulteriori strumenti, per poter verificare l’eventuale presenza di librerie con vulnerabilità di sicurezza note, ossia presenti nel Common Vulnerabilities and Exposures (CVE). Il lavoro svolto fino ad oggi, sia in campo commerciale che accademico, ha avuto come focus principale il mondo del software desktop e server.
Questo lavoro si è posto lo stesso obiettivo sia per Android, sia per iOS: creare un tool capace di analizzare staticamente il pacchetto binario di un’applicazione e individuare le vulnerabilità associate alle TPLs incluse in essa, senza disporre del suo codice sorgente. Per le applicazioni Android e iOS, questo lavoro è partito dalla ricerca e dall’analisi dello stato dell’arte, individuando pregi e difetti di metodologie e software attualmente disponibili per l’individuazione delle TPLs rispettivamente in un file apk o ipa, per poi proseguire con analoghe ricerche rispetto alle tecniche per rintracciare eventuali vulnerabilità associate ad una libreria; infine, è stato progettato e creato uno strumento che, tramite l’integrazione e l’orchestrazione di alcuni dei tool individuati nelle fasi precedenti e tramite la produzione di codice originale, svolge entrambi i compiti in maniera completamente automatizzata.
Tipologia del documento
Tesi di laurea
(Laurea magistrale)
Autore della tesi
Marinaci, Diego
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
TPLs,third-party libraries,librerie di terze parti,individuazione vulnerabilità,CVE,Software composition analysis,SCA,SBOM
Data di discussione della Tesi
22 Marzo 2022
URI
Altri metadati
Tipologia del documento
Tesi di laurea
(NON SPECIFICATO)
Autore della tesi
Marinaci, Diego
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
TPLs,third-party libraries,librerie di terze parti,individuazione vulnerabilità,CVE,Software composition analysis,SCA,SBOM
Data di discussione della Tesi
22 Marzo 2022
URI
Gestione del documento: