会员服务
API · 安卓 · 工具 · 安全风险 · 提取 ·
4 月 15 日
AndroScanner: Automated Backend Vulnerability Detection for Android Applications
翻译:AndroScanner:安卓应用后端漏洞自动检测工具
Harini Dandu
Harini Dandu
from arxiv, 12 pages, 6 figures

Mobile applications rely on complex backends that introduce significant security risks, yet developers often lack the tools to assess these risks effectively. This paper presents AndroScanner, an automated pipeline for detecting vulnerabilities in Android application backends through combined static and dynamic analysis. AndroScanner extracts backend API calls from APK files using apktool, Androguard, and Frida-based dynamic instrumentation, then vets them against the OWASP API Security Top 10 using APIFuzzer. We evaluate AndroScanner on two Android applications: a purposely vulnerable bank application and a production recruitment application with over 50,000 downloads on Google Play Store. Across both applications, AndroScanner extracted 24 APIs and identified 5 vulnerabilities, including a previously unreported zero-day Excessive Data Exposure vulnerability (ranked 3rd in the OWASP API Security Top 10) in the production application. The vulnerability was responsibly disclosed to the development team prior to publication. AndroScanner is available upon request to assist developers in identifying and remediating backend security risks before deployment.


翻译:移动应用依赖复杂的后端服务,这带来了显著的安全风险,而开发者往往缺乏有效评估这些风险的工具。本文提出AndroScanner,一种通过静态与动态分析相结合来自动检测安卓应用后端漏洞的流水线方案。AndroScanner利用apktool、Androguard及基于Frida的动态插桩技术,从APK文件中提取后端API调用,随后依据OWASP API安全Top 10列表,使用APIFuzzer对这些API进行审查。我们在两款安卓应用上对AndroScanner进行了评估:一款为刻意构造的易受攻击的银行应用,另一款为Google Play商店下载量超过5万次的正式招聘应用。在这两款应用中,AndroScanner共提取了24个API,并识别出5个漏洞,其中包括该正式应用中一处此前未被报告的零日漏洞——过度数据暴露(Excessive Data Exposure)漏洞(在OWASP API安全Top 10中排名第三)。该漏洞已在论文发表前负责任地向开发团队披露。AndroScanner可按需获取,以帮助开发者在部署前识别并修复后端安全风险。
0
下载
关闭预览

相关内容

应用程序接口(简称 API),又称为应用编程接口,就是软件系统不同组成部分衔接的约定。
DeepSeek 版Claude Code,免费小白安装教程来了!
DeepSeek 版Claude Code,免费小白安装教程来了!
专知会员服务
23+阅读 · 5月5日
美AI公司Anthropic推出网络安全模型“Mythos”
美AI公司Anthropic推出网络安全模型“Mythos”
专知会员服务
11+阅读 · 4月18日
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
16+阅读 · 1月28日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
黑匣子被打开了!能玩的Transformer可视化解释工具,本地运行GPT-2、还可实时推理
黑匣子被打开了!能玩的Transformer可视化解释工具,本地运行GPT-2、还可实时推理
专知会员服务
36+阅读 · 2024年8月11日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
67+阅读 · 2022年4月14日
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
专知会员服务
46+阅读 · 2020年7月22日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
70+阅读 · 2020年1月17日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
151+阅读 · 2019年4月7日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
WOOTdroid: Whole-system Online On-device Tracing for Android
Arxiv
0+阅读 · 4月30日
ASTRA: An Automated Framework for Strategy Discovery, Retrieval, and Evolution for Jailbreaking LLMs
Arxiv
0+阅读 · 4月20日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月19日
Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks
Arxiv
0+阅读 · 4月1日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities
Arxiv
0+阅读 · 3月25日
Okara: Detection and Attribution of TLS Man-in-the-Middle Vulnerabilities in Android Apps with Foundation Models
Arxiv
0+阅读 · 3月17日
CodeCureAgent: Automatic Classification and Repair of Static Analysis Warnings
Arxiv
0+阅读 · 2月25日
Many Tools, Few Exploitable Vulnerabilities: A Survey of 246 Static Code Analyzers for Security
Arxiv
0+阅读 · 2月20日
AndroWasm: an Empirical Study on Android Malware Obfuscation through WebAssembly
Arxiv
0+阅读 · 2月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
API
安卓
工具
安全风险
提取
最新内容
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
3+阅读 · 6月22日
综述 | 3D场景图:开放挑战与未来方向
综述 | 3D场景图:开放挑战与未来方向
专知会员服务
4+阅读 · 6月22日
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
6+阅读 · 6月22日
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
4+阅读 · 6月22日
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
5+阅读 · 6月22日
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
5+阅读 · 6月22日
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
6+阅读 · 6月22日
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
7+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
5+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
8+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
22+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
相关VIP内容
DeepSeek 版Claude Code,免费小白安装教程来了!
DeepSeek 版Claude Code,免费小白安装教程来了!
专知会员服务
23+阅读 · 5月5日
美AI公司Anthropic推出网络安全模型“Mythos”
美AI公司Anthropic推出网络安全模型“Mythos”
专知会员服务
11+阅读 · 4月18日
《基于动态图神经网络的恶意软件检测》
《基于动态图神经网络的恶意软件检测》
专知会员服务
16+阅读 · 1月28日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
黑匣子被打开了!能玩的Transformer可视化解释工具,本地运行GPT-2、还可实时推理
黑匣子被打开了!能玩的Transformer可视化解释工具,本地运行GPT-2、还可实时推理
专知会员服务
36+阅读 · 2024年8月11日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
67+阅读 · 2022年4月14日
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
专知会员服务
46+阅读 · 2020年7月22日
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
TensorFlow Lite指南实战《TensorFlow Lite A primer》,附48页PPT
专知会员服务
70+阅读 · 2020年1月17日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
36+阅读 · 2019年10月23日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
iOS如何区分App和SDK内部crash
iOS如何区分App和SDK内部crash
CocoaChina
11+阅读 · 2019年4月17日
FaceNiff工具 - 适用于黑客的Android应用程序
FaceNiff工具 - 适用于黑客的Android应用程序
黑白之道
151+阅读 · 2019年4月7日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
ProxyDroid - 适用于黑客的Android应用程序
ProxyDroid - 适用于黑客的Android应用程序
黑白之道
55+阅读 · 2019年3月9日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
【大数据】StreamSets:一个大数据采集工具
【大数据】StreamSets:一个大数据采集工具
产业智能官
40+阅读 · 2018年12月5日
相关论文
WOOTdroid: Whole-system Online On-device Tracing for Android
Arxiv
0+阅读 · 4月30日
ASTRA: An Automated Framework for Strategy Discovery, Retrieval, and Evolution for Jailbreaking LLMs
Arxiv
0+阅读 · 4月20日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月19日
Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks
Arxiv
0+阅读 · 4月1日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities
Arxiv
0+阅读 · 3月25日
Okara: Detection and Attribution of TLS Man-in-the-Middle Vulnerabilities in Android Apps with Foundation Models
Arxiv
0+阅读 · 3月17日
CodeCureAgent: Automatic Classification and Repair of Static Analysis Warnings
Arxiv
0+阅读 · 2月25日
Many Tools, Few Exploitable Vulnerabilities: A Survey of 246 Static Code Analyzers for Security
Arxiv
0+阅读 · 2月20日
AndroWasm: an Empirical Study on Android Malware Obfuscation through WebAssembly
Arxiv
0+阅读 · 2月20日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
移动云服务中的隐私保护与安全保障机制研究
国家自然科学基金
1+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top