| Título: | Avaliando o impacto de bibliotecas externas nos relatórios de uso incorreto de APIs criptográficas em projetos Android |
| Autor(es): | Monteiro, Guilherme Andreúce Sobreira |
| Orientador(es): | Almeida, Rodrigo Bonifácio de |
| Assunto: | Criptografia de dados (Computação)
Android (Recurso eletrônico)
Segurança da informação - vulnerabilidades |
| Data de apresentação: | 23-Set-2024 |
| Data de publicação: | 29-Nov-2024 |
| Referência: | MONTEIRO, Guilherme Andreúce S. Avaliando o impacto de bibliotecas externas nos relatórios de uso incorreto de APIs criptográficas em projetos Android. 2024. 33 f., il. Trabalho de Conclusão de Curso (Bacharelado em Ciência da Computação) — Universidade de Brasília, Brasília, 2024. |
| Resumo: | Este estudo apresenta uma estratégia para aprimorar os relatórios sobre o uso incorreto de APIs criptográficas em projetos Android, visando fortalecer a segurança de aplicações baseadas nessa tecnologia. Para isso, integramos as ferramentas CogniCrypt e Crypto-Guard com a ferramenta LibScout, permitindo identificar se a origem do warning (um relato de uso incorreto de API de criptografia) pertence a uma biblioteca externa. Essa melhoria possibilita que engenheiros de software e especialistas em segurança priorizem melhor quais warnings devem ser abordados. Além disso, os resultados deste trabalho permitem que pesquisadores avaliem e reportem de forma mais precisa o percentual de aplicativos Android que possuem vulnerabilidades e quais bibliotecas são responsáveis pela maior propagação de vulnerabilidades relacionadas ao uso incorreto de APIs de criptografia. Após a análise de 246 aplicativos Android usando CogniCrypt, foram gerados 7103warnings, dos quais 998 (14.05%) estavam relacionados a bibliotecas externas e 6105(85.95%) ao código do APK. Com o CryptoGuard, a análise de 253 aplicativos gerou2710 warnings, dos quais 1046 (38.60%) estavam associados a bibliotecas externas e 1664(61.4%) ao código do APK. Esses dados evidenciam que, especialmente no caso do CryptoGuard, uma parcela significativa dos alertas de vulnerabilidades está relacionada a bibliotecas externas, reforçando a importância de identificar a origem dos warnings para direcionar esforços de correção de maneira mais eficaz. |
| Abstract: | This study presents an approach to enhance the detection of vulnerabilities in Java cryptographic APIs, aiming to strengthen the security of applications based on this technology. For this purpose, we integrated the CogniCrypt and CryptoGuard tools with LibScout, allowing the identification of the origin of warnings related to external libraries. This qualitative approach represents an advancement in promoting security in Java applications, contributing to a more resilient digital ecosystem protected against potential cyberthreats. By incorporating the identification of the origin of warnings, we also enable direct suggestions to the developers of the libraries, optimizing the vulnerability correction process. After analyzing 246 Android applications with CogniCrypt, we observed a total of7103 warnings, of which 998 (14.05%) were related to external libraries, and 6105 (85.95%) were linked to the application’s code. For CryptoGuard, the analysis of 253 applications generated 2710 warnings, of which 1046 (38.60%) were associated with external libraries, and 1664 (61.4%) were related to the application’s code. These results highlight that, particularly for CryptoGuard, some vulnerabilities are related to third-party components, underscoring the importance of identifying the source of warnings to prioritize correction efforts effectively. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2024. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Ciência da Computação
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
