Individuazione di vulnerabilità nelle librerie di terze parti in applicazioni Android e iOS

Nello sviluppo di un’applicazione mobile, sia essa destinata alla piattaforma Android o iOS, vengono spesso utilizzate librerie di terze parti (Third-Party Libraries o TPLs) in quanto esse consentono di ridurre notevolmente i tempi di sviluppo. Tuttavia, il loro impiego può introdurre anche diversi rischi di sicurezza e, per questo motivo, negli ultimi anni sono state sviluppate diverse tecniche e metodologie allo scopo di identificare le TPLs all’interno di software compilati senza disporre del loro codice sorgente. Queste informazioni possono essere utilizzate, manualmente o tramite ulteriori strumenti, per poter verificare l’eventuale presenza di librerie con vulnerabilità di sicurezza note, ossia presenti nel Common Vulnerabilities and Exposures (CVE). Il lavoro svolto fino ad oggi, sia in campo commerciale che accademico, ha avuto come focus principale il mondo del software desktop e server. Questo lavoro si è posto lo stesso obiettivo sia per Android, sia per iOS: creare un tool capace di analizzare staticamente il pacchetto binario di un’applicazione e individuare le vulnerabilità associate alle TPLs incluse in essa, senza disporre del suo codice sorgente. Per le applicazioni Android e iOS, questo lavoro è partito dalla ricerca e dall’analisi dello stato dell’arte, individuando pregi e difetti di metodologie e software attualmente disponibili per l’individuazione delle TPLs rispettivamente in un file apk o ipa, per poi proseguire con analoghe ricerche rispetto alle tecniche per rintracciare eventuali vulnerabilità associate ad una libreria; infine, è stato progettato e creato uno strumento che, tramite l’integrazione e l’orchestrazione di alcuni dei tool individuati nelle fasi precedenti e tramite la produzione di codice originale, svolge entrambi i compiti in maniera completamente automatizzata.