会员服务
android · Automator · API · 可辨认的 · TOOLS ·
4 月 15 日
AndroScanner: Automated Backend Vulnerability Detection for Android Applications
翻译:暂无翻译
Harini Dandu
Harini Dandu
from arxiv, 12 pages, 6 figures

Mobile applications rely on complex backends that introduce significant security risks, yet developers often lack the tools to assess these risks effectively. This paper presents AndroScanner, an automated pipeline for detecting vulnerabilities in Android application backends through combined static and dynamic analysis. AndroScanner extracts backend API calls from APK files using apktool, Androguard, and Frida-based dynamic instrumentation, then vets them against the OWASP API Security Top 10 using APIFuzzer. We evaluate AndroScanner on two Android applications: a purposely vulnerable bank application and a production recruitment application with over 50,000 downloads on Google Play Store. Across both applications, AndroScanner extracted 24 APIs and identified 5 vulnerabilities, including a previously unreported zero-day Excessive Data Exposure vulnerability (ranked 3rd in the OWASP API Security Top 10) in the production application. The vulnerability was responsibly disclosed to the development team prior to publication. AndroScanner is available upon request to assist developers in identifying and remediating backend security risks before deployment.


翻译:暂无翻译
0
下载
关闭预览

相关内容

美AI公司Anthropic推出网络安全模型“Mythos”
美AI公司Anthropic推出网络安全模型“Mythos”
专知会员服务
8+阅读 · 4月18日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
《安全战术微云对边缘任务的支持》21页slides
《安全战术微云对边缘任务的支持》21页slides
专知会员服务
25+阅读 · 2024年6月9日
科研动态| 一句指令帮你操作手机,最新多模态手机助手Mobile-Agent来了!
科研动态| 一句指令帮你操作手机,最新多模态手机助手Mobile-Agent来了!
专知会员服务
35+阅读 · 2024年2月4日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
移动互联网应用程序(APP)个人信息保护治理白皮书
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
21+阅读 · 2021年11月24日
移动应用(APP)个人信息保护白皮书
移动应用(APP)个人信息保护白皮书
专知会员服务
17+阅读 · 2021年10月31日
软件缺陷自动修复技术综述
专知会员服务
14+阅读 · 2021年9月21日
【KDD2020-腾讯】基于移动应用程序使用的通用用户嵌入表示
【KDD2020-腾讯】基于移动应用程序使用的通用用户嵌入表示
专知会员服务
23+阅读 · 2020年6月9日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
MMDetection v2.0 训练自己的数据集
MMDetection v2.0 训练自己的数据集
CVer
30+阅读 · 2020年8月9日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
微信小程序支持webP的WebAssembly方案
微信小程序支持webP的WebAssembly方案
前端之巅
19+阅读 · 2019年8月14日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
150+阅读 · 2019年4月7日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
机器之心
15+阅读 · 2018年3月11日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动云计算复杂网络环境下任务粒度的应用划分和调度方法
国家自然科学基金
0+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
移动互联网服务及隐私保护的理论与关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于第三方的APP软件质量度量和评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Do Privacy Policies Match with the Logs? An Empirical Study of Privacy Disclosure in Android Application Logs
Arxiv
0+阅读 · 5月1日
WOOTdroid: Whole-system Online On-device Tracing for Android
Arxiv
0+阅读 · 4月30日
MARD: A Multi-Agent Framework for Robust Android Malware Detection
Arxiv
0+阅读 · 4月28日
PolicyGapper: Automated Detection of Inconsistencies Between Google Play Data Safety Sections and Privacy Policies Using LLMs
Arxiv
0+阅读 · 4月17日
OpenMobile: Building Open Mobile Agents with Task and Trajectory Synthesis
Arxiv
0+阅读 · 4月16日
DroidRetriever: A Transparent and Steerable Automation System for Collaborative Mobile Information Seeking
Arxiv
0+阅读 · 4月10日
Design and empirical validation of a stock-Android software architecture for Wi-Fi Direct multi-group communication
Arxiv
0+阅读 · 4月9日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月2日
AutoEG: Exploiting Known Third-Party Vulnerabilities in Black-Box Web Applications
Arxiv
0+阅读 · 4月1日
An Empirical Comparison of Security and Privacy Characteristics of Android Messaging Apps
Arxiv
0+阅读 · 3月31日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
android
Automator
API
可辨认的
TOOLS
最新内容
DeepSeek 版Claude Code,免费小白安装教程来了!
DeepSeek 版Claude Code,免费小白安装教程来了!
专知会员服务
7+阅读 · 5月5日
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
专知会员服务
4+阅读 · 5月5日
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
专知会员服务
4+阅读 · 5月5日
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
专知会员服务
5+阅读 · 5月5日
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
专知会员服务
7+阅读 · 5月5日
《美空军条令出版物 2-0:情报(2026版)》
《美空军条令出版物 2-0:情报(2026版)》
专知会员服务
13+阅读 · 5月5日
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
专知会员服务
5+阅读 · 5月5日
帕兰提尔 Gotham:一个游戏规则改变器
帕兰提尔 Gotham:一个游戏规则改变器
专知会员服务
7+阅读 · 5月5日
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
专知会员服务
3+阅读 · 5月5日
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
专知会员服务
2+阅读 · 5月5日
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
专知会员服务
8+阅读 · 5月4日
【综述】 机器人学习中的世界模型:全面综述
【综述】 机器人学习中的世界模型:全面综述
专知会员服务
11+阅读 · 5月4日
伊朗的导弹-无人机行动及其对美国威慑的影响
伊朗的导弹-无人机行动及其对美国威慑的影响
专知会员服务
9+阅读 · 5月4日
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
专知会员服务
9+阅读 · 5月4日
战争贩子:2026年第一季度美国对中东潜在军售激增
战争贩子:2026年第一季度美国对中东潜在军售激增
专知会员服务
7+阅读 · 5月4日
相关VIP内容
美AI公司Anthropic推出网络安全模型“Mythos”
美AI公司Anthropic推出网络安全模型“Mythos”
专知会员服务
8+阅读 · 4月18日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
《安全战术微云对边缘任务的支持》21页slides
《安全战术微云对边缘任务的支持》21页slides
专知会员服务
25+阅读 · 2024年6月9日
科研动态| 一句指令帮你操作手机,最新多模态手机助手Mobile-Agent来了!
科研动态| 一句指令帮你操作手机,最新多模态手机助手Mobile-Agent来了!
专知会员服务
35+阅读 · 2024年2月4日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
移动互联网应用程序(APP)个人信息保护治理白皮书
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
21+阅读 · 2021年11月24日
移动应用(APP)个人信息保护白皮书
移动应用(APP)个人信息保护白皮书
专知会员服务
17+阅读 · 2021年10月31日
软件缺陷自动修复技术综述
专知会员服务
14+阅读 · 2021年9月21日
【KDD2020-腾讯】基于移动应用程序使用的通用用户嵌入表示
【KDD2020-腾讯】基于移动应用程序使用的通用用户嵌入表示
专知会员服务
23+阅读 · 2020年6月9日
热门VIP内容
相关资讯
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
MMDetection v2.0 训练自己的数据集
MMDetection v2.0 训练自己的数据集
CVer
30+阅读 · 2020年8月9日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
微信小程序支持webP的WebAssembly方案
微信小程序支持webP的WebAssembly方案
前端之巅
19+阅读 · 2019年8月14日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
150+阅读 · 2019年4月7日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
深度 | 级联MobileNet-V2实现人脸关键点检测(附训练源码)
机器之心
15+阅读 · 2018年3月11日
相关论文
Do Privacy Policies Match with the Logs? An Empirical Study of Privacy Disclosure in Android Application Logs
Arxiv
0+阅读 · 5月1日
WOOTdroid: Whole-system Online On-device Tracing for Android
Arxiv
0+阅读 · 4月30日
MARD: A Multi-Agent Framework for Robust Android Malware Detection
Arxiv
0+阅读 · 4月28日
PolicyGapper: Automated Detection of Inconsistencies Between Google Play Data Safety Sections and Privacy Policies Using LLMs
Arxiv
0+阅读 · 4月17日
OpenMobile: Building Open Mobile Agents with Task and Trajectory Synthesis
Arxiv
0+阅读 · 4月16日
DroidRetriever: A Transparent and Steerable Automation System for Collaborative Mobile Information Seeking
Arxiv
0+阅读 · 4月10日
Design and empirical validation of a stock-Android software architecture for Wi-Fi Direct multi-group communication
Arxiv
0+阅读 · 4月9日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月2日
AutoEG: Exploiting Known Third-Party Vulnerabilities in Black-Box Web Applications
Arxiv
0+阅读 · 4月1日
An Empirical Comparison of Security and Privacy Characteristics of Android Messaging Apps
Arxiv
0+阅读 · 3月31日
相关基金
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
移动云计算复杂网络环境下任务粒度的应用划分和调度方法
国家自然科学基金
0+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
移动互联网服务及隐私保护的理论与关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于第三方的APP软件质量度量和评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top