عاطفه نیرومند
کارشناسی ارشد
شروع دوره: مهرماه 1394
پايان دوره: دیماه 1396
عنوان پاياننامه: راهکاری مبتنی بر مهندسی معکوس مدلرانده برای ارزیابی سیاستهای کنترل دسترسی پیادهسازی شده
استاد راهنما: دکتر بهمن زمانی
استاد مشاور: دکتر بهروز ترک لادانی
بیشتر
معرفی کوتاه:
عاطفه نیرومند دارای مدرک کارشناسی مهندسی کامپیوتر- نرمافزار از دانشگاه اصفهان در سال 13۹۴، و مدرک کارشناسی ارشد از دانشگاه اصفهان در سال 13۹۶ میباشد. او به مهندسی نرمافزار مدلرانده، مهندسی معکوس مدلرانده و امنیت برنامههای اندروید علاقمند است. او عضو گروه پژوهشی مهندسی نرمافزار مدلرانده در دانشگاه اصفهان است.
چکیدهی پایاننامه:
اندروید به عنوان یک سکوی رایگان و منبعباز، به طور گسترده توسط توسعهدهندگان برنامههای موبایل مورد استفاده قرار میگیرد. برنامههای کاربردی اندروید از طریق بازارهای مختلف، به راحتی قابل دستیابی و دانلود هستند. از آنجا که دستگاههای موبایل مخزنی برای ذخیرهی دادههای شخصی و حساس میباشند، در نتیجه رعایت حریم خصوصی و تأمین امنیت در برنامههای نصب شده بر روی گوشیهای همراه به یک دغدغه تبدیل شده است. اندروید یک سیستم انتقال پیام را ارائه کرده است که میتواند در داخل و بین برنامهها ارتباط برقرار کند. برای محافظت از دستگاههای موبایل و جلوگیری از هر گونه حمله، سیستم انتقال پیام اندروید باید به درستی مورد استفاده قرار گیرد و ضعفهای احتمالی آن شناسایی شوند. یکی از آسیبپذیریها در زمینهی حریم خصوصی کاربران، دسترسی غیر مجاز به اطلاعات میباشد. در این زمینه، یک برنامه مخرب میتواند با بهرهگیری از حفرههای امنیتی موجود در برنامه یا از طریق فریب کاربر برای دسترسی بیش از حد باعث آسیبپذیری اطلاعات و منابع حساس شود. در نتیجه باید ریسکهای مربوط به سیستم انتقال پیام اندروید مورد ارزیابی قرار گیرند و عملیات ناامن و آسیبپذیریهای موجود تشخیص داده شوند.
برای این منظور، در این پژوهش رویکردی مبتنی بر مهندسی معکوس مدلرانده ارائه شده است که به شناسایی خودکار ریسکهای امنیتی و آسیبپذیریهای مربوط به مدل ارتباطی اندروید میپردازد. مهندسی معکوس مدلرانده میتواند سیستم نرمافزاری را در قالب مدلهایی نمایش دهد که باعث فهم بهتر سیستم میگردد. از طریق بهرهگیری مستقیم از تکنولوژی مهندسی مدلرانده میتوان به شناسایی و نمایش اطلاعات امنیتی در یک سطح بالایی از انتزاع پرداخت. رویکرد پیشنهادی به تشخیص آسیبپذیریهای مطرح در زمینهی ارتباطهای بین کامپوننت در برنامه اندروید میپردازد. در این رویکرد ابتدا اطلاعات امنیتی موجود در برنامه اندروید در قالب مدلهای اولیه استخراج میشوند. سپس این اطلاعات در قالب یک مدل خاص دامنه از طریق تبدیلات مدل یکپارچه میشوند. بنابراین برخی از عملیات مانند پرسوجو روی مدل میتواند برای تحلیل، مدیریت پیکربندی امنیتی و تشخیص آسیبپذیریهای مطرح در زمینهی ارتباطهای بین کامپوننت انجام گیرند. رویکرد پیشنهادی در قالب ابزاری تحت اکلیپس به نام VAnDroid پیادهسازی شده است. به منظور ارزیابی، ابزار VAnDroid بر روی 20 برنامه موجود در فروشگاه اپگوگل و 110 برنامه موجود در مخزن F-Droid اعمال شده است و سه ویژگی قابلیتاستفاده، مقیاسپذیری و صحت مورد بررسی قرار گرفتهاند. همچنین ابزار VAnDroid با چندین ابزار موجود نیز مورد مقایسه قرار گرفته است. نتایج حاکی از برتری روش پیشنهادی در مقایسه با ابزارهای موجود میباشد. به طور خاص مقیاسپذیری، قابلیتاستفاده و دقت بالایی در کشف آسیبپذیریها از موفقیتهای این ابزار میباشد.
پروژهها
مقالههای انگلیسی
- A Model-Based Framework for Inter-App Vulnerability Analysis of Android Applications
- A Model-Based Approach for Representing Data Sharing Mechanism in Android Applications
- Modeling Android Security using an Extension of Knowledge Discovery Metamodel
- VAnDroid: A framework for vulnerability analysis of Android applications using a model‐driven reverse engineering technique
گزارشهای فنی
- ATL Rules and OCL Queries Implemented in VAnDroid2
- ATL rules and OCL queries implemented in VAnDroid
- The evaluation results of VAnDroid for the selected apps from Google Play and F-Droid