Privbench: A Benchmark Capturing Privilege Escalation Vulnerabilities in Android ; Privvench : un banc d'essai pour détecter des vulnérabilités d'escalade de privilèges dans Android
Saved in:
| Title: | Privbench: A Benchmark Capturing Privilege Escalation Vulnerabilities in Android ; Privvench : un banc d'essai pour détecter des vulnérabilités d'escalade de privilèges dans Android |
|---|---|
| Authors: | Tebib, Mohammed El Amin, Aktouf, Oum-El-Kheir, André, Pascal, Graa, Mariem |
| Contributors: | Laboratoire de Conception et d'Intégration des Systèmes (LCIS), Université Grenoble Alpes (UGA)-Institut polytechnique de Grenoble - Grenoble Institute of Technology (Grenoble INP), Université Grenoble Alpes (UGA)-Université Grenoble Alpes (UGA), Laboratoire des Sciences du Numérique de Nantes (LS2N), Institut National de Recherche en Informatique et en Automatique (Inria)-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique), Institut Mines-Télécom Paris (IMT)-Institut Mines-Télécom Paris (IMT)-NANTES UNIVERSITÉ - École Centrale de Nantes (Nantes Univ - ECN), Nantes Université (Nantes Univ)-Nantes Université (Nantes Univ)-Nantes université - UFR des Sciences et des Techniques (Nantes univ - UFR ST), Nantes Université - pôle Sciences et technologie, Nantes Université (Nantes Univ)-Nantes Université (Nantes Univ)-Nantes Université - pôle Sciences et technologie, Nantes Université (Nantes Univ), Vérification pour l'Environnement et le LOgiciel (LS2N - équipe VELO), Nantes Université (Nantes Univ)-Institut National de Recherche en Informatique et en Automatique (Inria)-Centre National de la Recherche Scientifique (CNRS)-IMT Atlantique (IMT Atlantique) |
| Source: | 21st Annual International Conference on Privacy, Security and Trust (PST) 2024 21st Annual International Conference on Privacy, Security and Trust (PST) https://hal.science/hal-04849297 2024 21st Annual International Conference on Privacy, Security and Trust (PST), Aug 2024, Sydney, France. pp.1-12, ⟨10.1109/PST62714.2024.10788068⟩ |
| Publisher Information: | CCSD IEEE |
| Publication Year: | 2024 |
| Collection: | Université de Nantes: HAL-UNIV-NANTES |
| Subject Terms: | Android, Priviledge Escalation, PE vulnerabilities, Benchmark, Code Patterns, Security Smells, DevSecOps, escalade de privilèges, code smells, [INFO.INFO-SE]Computer Science [cs]/Software Engineering [cs.SE], [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR] |
| Subject Geographic: | Sydney, France |
| Description: | International audience ; Security code smells are receiving increasing attention in the domain of Android app development. They serve as coding guidelines aimed at identifying vulnerabilities originating from the application's source code. Numerous related tools have been proposed to align with DevSecOps guidelines. However, they lack of comparable effort in creating benchmarks for open-source apps, making the thorough evaluation of these tools challenging, and requiring time-consuming manual effort. In this paper, we propose Privbench, an evolving benchmark that captures vulnerabilities related to the Android ecosystem. It incorporates multiple code patterns for each vulnerability. To showcase its significance, we used it to evaluate two well-known tools used to identify Android security code smells. This evaluation focused on Privilege Escalation (PE) vulnerabilities and we present their performance in detecting the vulnerabilities within their scopes. We believe that our benchmark can be useful for advancing the capabilities of state-of-the-art tools, enhancing their effectiveness in vulnerability detection, and increasing developers awareness to evade privilege escalation vulnerabilities. ; Les code smells de sécurité prennent une importance croissante dans le domaine du développement d'applications Android. Elles servent à identifier les vulnérabilités provenant du code source de l'application. De nombreux outils ont été proposés pour s'aligner sur les directives DevSecOps. Cependant, ils sont de niveaux très variables quand à la comparaison fiable d'outils d'analyse de vulnérabilités dans les applications open source, ce qui rend l'évaluation approfondie de ces outils difficile et nécessite un effort manuel fastidieux. Dans cet article, nous proposons Privbench, un benckmark évolutif qui capture les vulnérabilités liées à l'écosystème Android. Il intègre plusieurs exemples de code pour chaque vulnérabilité. Pour valider l'approche, nous l'avons utilisé pour évaluer deux outils bien connus utilisés pour ... |
| Document Type: | conference object |
| Language: | English |
| DOI: | 10.1109/PST62714.2024.10788068 |
| Availability: | https://hal.science/hal-04849297 https://doi.org/10.1109/PST62714.2024.10788068 |
| Rights: | http://hal.archives-ouvertes.fr/licences/copyright/ |
| Accession Number: | edsbas.2E7ED7A2 |
| Database: | BASE |
Nájsť tento článok vo Web of Science | Abstract: | International audience ; Security code smells are receiving increasing attention in the domain of Android app development. They serve as coding guidelines aimed at identifying vulnerabilities originating from the application's source code. Numerous related tools have been proposed to align with DevSecOps guidelines. However, they lack of comparable effort in creating benchmarks for open-source apps, making the thorough evaluation of these tools challenging, and requiring time-consuming manual effort. In this paper, we propose Privbench, an evolving benchmark that captures vulnerabilities related to the Android ecosystem. It incorporates multiple code patterns for each vulnerability. To showcase its significance, we used it to evaluate two well-known tools used to identify Android security code smells. This evaluation focused on Privilege Escalation (PE) vulnerabilities and we present their performance in detecting the vulnerabilities within their scopes. We believe that our benchmark can be useful for advancing the capabilities of state-of-the-art tools, enhancing their effectiveness in vulnerability detection, and increasing developers awareness to evade privilege escalation vulnerabilities. ; Les code smells de sécurité prennent une importance croissante dans le domaine du développement d'applications Android. Elles servent à identifier les vulnérabilités provenant du code source de l'application. De nombreux outils ont été proposés pour s'aligner sur les directives DevSecOps. Cependant, ils sont de niveaux très variables quand à la comparaison fiable d'outils d'analyse de vulnérabilités dans les applications open source, ce qui rend l'évaluation approfondie de ces outils difficile et nécessite un effort manuel fastidieux. Dans cet article, nous proposons Privbench, un benckmark évolutif qui capture les vulnérabilités liées à l'écosystème Android. Il intègre plusieurs exemples de code pour chaque vulnérabilité. Pour valider l'approche, nous l'avons utilisé pour évaluer deux outils bien connus utilisés pour ... |
|---|---|
| DOI: | 10.1109/PST62714.2024.10788068 |