講演抄録/キーワード |
講演名 |
2017-03-14 11:45
Androidアプリの脆弱性とQ&Aサイト上のコードスニペットの関連性の分析 ○中野弘樹(横浜国大)・金井文宏・秋山満昭(NTT)・吉岡克成(横浜国大) ICSS2016-68 |
抄録 |
(和) |
Androidアプリ開発者は,開発者向けのQ&Aサイトに投稿されているコードスニペットを自身が開発しているアプリに利用して実装を行っている場合がある.そのため,コードスニペットに脆弱性が含まれていた場合,Androidアプリも同様の脆弱性を生じる恐れがある.しかし,実際に脆弱な実装があるアプリがどのコードスニペットから由来しているかという実態は調査されていない.本研究では,Q&Aサイトからコードスニペットを収集し,脆弱性の原因と成り得るコードスニペットとAndroidマーケット上の脆弱なアプリのバイトコードの類似度を比較することで,コードスニペットが実際に脆弱アプリの原因となっているかを調査した.その結果,コードスニペットの利用が原因で脆弱性を生じたと推定されるアプリが,同様の脆弱性を有する全アプリのうち最大で18%の割合で存在し,コードスニペットが脆弱性の原因となっている実態が明らかとなった. |
(英) |
Android app developers sometimes copy code snippets posted on a Question and Answer Website and develop their apps. If a code snippet has vulnerabilities, android apps with the problematic snippet could also have the same vulnerabilities. However, influence of problematic snippets on the vulnerabilities of Android apps has not been investigated in depth. In this paper, we collect code snippets from the Question and Answer Website, extract possibly problematic snippet, and calculate similarity between those snippets with vulnerable apps. As a result, we show that a single problematic snippet cause 2,177 apps to contain a vulnerability, 18% of all collected apps with that vulnerability. |
キーワード |
(和) |
Androidアプリ / 脆弱性 / Q&Aサイト / コードスニペット / / / / |
(英) |
Mobile App / Vulnerabilities / Question and Answer Website / Code Snippets / / / / |
文献情報 |
信学技報, vol. 116, no. 522, ICSS2016-68, pp. 171-176, 2017年3月. |
資料番号 |
ICSS2016-68 |
発行日 |
2017-03-06 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2016-68 |