Vulnerabilities of Android OS

Thesis title: Zranitelnosti Android OS
Author: Mikešová, Marie
Thesis type: Diplomová práce
Supervisor: Klíma, Tomáš
Opponents: Holub, Jan
Thesis language: Česky
Abstract:
Cílem této diplomové práce je provedení statické analýzy zranitelností aplikací Android Open Source Projektu (AOSP), které se zároveň vyskytují i v komerčních verzích Androidu. AOSP bude nejprve zařazen do kontextu ostatních variant tohoto operačního systému. Poté budou z hlediska zranitelností a bezpečnostních prvků představeny jednotlivé vrstvy architektury. Aplikační vrstě přičemž pozornost samotným aplikacím, jejich formátům, komponentám a vzájemné komunikaci bude dále věnována ve vlastní kapitole. Součástí práce bude také stručné představení statistických dat známých zranitelností Androidu napříč verzemi. Krátké teoretické uvedení do problematiky bezpečnostního testování bude následováno přípravnou fází praktické části, v rámci které budou zvoleny konkrétní aplikace, jež se stanou vstupem pro sken zranitelností provedeného nástrojem SonarQube. Nálezy budou přiřazeny odpovídajícím zranitelnostem listů OWASP Top 10 a CWE. Po vyhodnocení skenu bude na aplikaci s nejhorším hodnocením provedena manuální kontrola jednotlivých bezpečnostních nálezů na výskyt falešně pozitivních výsledků. Další identifikované typy zranitelností, které nebyly předmětem předchozí kontroly, budou dále také zběžně přezkoumány a vyhodnoceny.
Keywords: Android; zranitelnosti; IT bezpečnost; SAST
Thesis title: Vulnerabilities of Android OS
Author: Mikešová, Marie
Thesis type: Diploma thesis
Supervisor: Klíma, Tomáš
Opponents: Holub, Jan
Thesis language: Česky
Abstract:
The diploma thesis’ goal is to perform a vulnerability analysis of Android Open Source Project (AOSP) applications which are also a part commercial Android versions. AOSP will first be presented in a context of other variants of this operating system. After that, there will be presented components of the operating system from a vulnerability and security feature point of view, while applications, their formats, components and communication will be focused on in a different chapter. The thesis will also include a brief presentation of statistical data about well-known Android vulnerabilities across the versions. A brief theoretical security testing introduction will be followed by a preparative phase of a practical part of the thesis during which specific applications will be selected as an input for a vulnerability scan performed by SonarQube. Findings will be assigned to the corresponding vulnerabilities in the OWASP Top 10 and CWE lists. After the scan is be evaluated, a manual check of the individual security findings for false positive results will be performed on the worst rated application. Other found vulnerability types that were not previously reviewed will be also briefly reviewed and evaluated.
Keywords: vulnerabilities; Android; IT security; SAST

Information about study

Study programme: Aplikovaná informatika/Informační systémy a technologie
Type of study programme: Magisterský studijní program
Assigned degree: Ing.
Institutions assigning academic degree: Vysoká škola ekonomická v Praze
Faculty: Faculty of Informatics and Statistics
Department: Department of Information Technologies

Information on submission and defense

Date of assignment: 5. 11. 2020
Date of submission: 5. 12. 2022
Date of defense: 23. 1. 2023
Identifier in the InSIS system: https://insis.vse.cz/zp/75015/podrobnosti

Files for download

    Last update: