Miglioramento della valutazione della sicurezza delle applicazioni mobili

Abstract

Gli strumenti di Static Application Security Testing (SAST) sono fondamentali per rilevare le vulnerabilità nelle applicazioni mobili analizzando il codice sorgente senza eseguire l'applicazione. Questi strumenti sono comunemente integrati nelle moderne pipeline di Continuous Integration/Continuous Deployment (CI/CD). Tuttavia, spesso faticano a rilevare vulnerabilità complesse, come problemi di crittografia o interazioni tra più componenti, a causa della loro dipendenza da regole e modelli predefiniti.

Sebbene framework come l'OWASP Mobile Application Security Verification Standard (MASVS) e la Mobile Application Security Testing Guide (MASTG) abbiano standardizzato le valutazioni di sicurezza per le app mobili, i dataset esistenti utilizzati per valutare gli strumenti SAST riguardano principalmente vulnerabilità specifiche e spesso mancano di modelli recenti.

Per ovviare a questa limitazione, questa tesi introduce OWApp Benchmark, un set di dati completo per le applicazioni Android allineato con OWASP MASVS. OWApp Benchmark migliora la valutazione degli strumenti SAST per Android offrendo una copertura più ampia dei controlli di sicurezza, migliorando così il rilevamento di una gamma più ampia di vulnerabilità. Ogni voce del set di dati include il codice sorgente, l'APK, i dettagli della vulnerabilità e gli artefatti rilevanti per supportare valutazioni accurate.

È stata condotta una valutazione sperimentale utilizzando quattro strumenti SAST: Sebastiano, MobSF, ApkHunt e Trueseeing sul benchmark OWApp. I risultati sono stati confrontati con il dataset Ghera, evidenziando le principali differenze tra le due soluzioni di benchmarking.

Tradotto con DeepL.com (versione gratuita)

Static Application Security Testing (SAST) tools are crucial for detecting vulnerabilities in mobile apps by analyzing source code without executing the app. These tools are commonly integrated into modern Continuous Integration/Continuous Deployment (CI/CD) pipelines. However, they often struggle to detect complex vulnerabilities, such as cryptographic issues or multi-component interactions, due to their reliance on predefined rules and patterns.

Although frameworks like the OWASP Mobile Application Security Verification Standard (MASVS) and the Mobile Application Security Testing Guide (MASTG) have standardized security assessments for mobile apps, existing datasets used to evaluate SAST tools primarily cover specific vulnerabilities and often lack recent patterns.

To address this limitation, this thesis introduces the OWApp Benchmark, a comprehensive dataset for Android apps aligned with OWASP MASVS. The OWApp Benchmark enhances the evaluation of Android SAST tools by offering broader coverage of security controls, thereby improving the detection of a wider range of vulnerabilities. Each entry in the dataset includes source code, APK, vulnerability details, and relevant artifacts to support accurate evaluations.

An experimental evaluation was conducted using four SAST tools—Sebastian, MobSF, ApkHunt, and Trueseeing—on the OWApp Benchmark. The results were compared with the Ghera dataset, highlighting key differences between the two benchmarking solutions.