Tese

Using Metamorphic Testing to Identify Authentication Vulnerabilities in Android Mobile Applications (2024)

• Autores:
  • Costa Júnior, Misael
  • Delamaro, Márcio Eduardo (Orientador)
• Autor USP: COSTA JUNIOR, MISAEL - ICMC
• Unidade: ICMC
• Sigla do Departamento: SSC
• DOI: 10.11606/T.55.2024.tde-20082024-083506
• Assuntos: APLICATIVOS MÓVEIS; QUALIDADE DE SOFTWARE; SEGURANÇA DE SOFTWARE; VULNERABILIDADE
• Palavras-chave do autor: GUI based testing; Metamorphic testing; Mobile apps testing; Security testing; Teste baseado em GUI; Teste de segurança; Teste metamórfico; Vulnerability testing
• Agências de fomento:
  • Financiamento CAPES
• Idioma: Inglês
• Resumo: O amplo uso de aplicativos móveis, abrangendo atividades desde operações bancárias até tarefas de escritório, intensificou a demanda por atividades de garantia de qualidade. No entanto, testes de aplicativos móveis apresentam desafios distintos, como restrições de energia (ou seja, Desempenho), adaptação de interface (ou seja, Usabilidade) e privacidade de dados do usuário (ou seja, Segurança) exemplos de Requisitos Não Funcionais (RNFs). Segurança, um dos RNFs mais críticos, é crucial para sistemas de software, especialmente em aplicativos móveis. A existência de falhas de segurança (ou seja, vulnerabilidades) representam um risco substancial, podendo resultar em acesso não autorizado ou ataques maliciosos. Testes de segurança tradicionais são frequentemente dispendiosos e complexos, complicados ainda mais pelo problema do oráculo. Em resposta, o Teste Metamórfico (TM) surgiu como uma abordagem estratégica para enfrentar esses desafios. Utilizando Relacionamentos Metamórficos (RMs) derivados do System Under Testing (SUT), o TM avalia falhas no sistema. Estudos recentes exploraram a eficácia do TM em revelar falhas relacionadas a RNFs, incluindo Desempenho e Segurança, em domínios como sistemas Web e aplicativos móveis. Esta pesquisa de doutorado introduz uma técnica inovadora de TM direcionada a cinco vulnerabilidades relatadas pela OWASP em aplicativos móveis Android, que afetaram principalmente os métodos de autenticação por nome de usuário e senha. A técnica utilizacinco RMs para avaliar a presença dessas vulnerabilidades, complementada por um Ambiente de Teste de Vulnerabilidade Metamórfica que automatiza o processo de teste. Este ambiente simplifica a geração e execução de casos de teste source de follow-up. Em um experimento abrangente com 163 aplicativos Android comerciais, a técnica proposta identificou 159 vulnerabilidades, sendo que 108 aplicativos revelaram pelo menos uma vulnerabilidade. Dentre os métodos usados para validar as vulnerabilidades encontradas, foram contatadas 37 empresas para relatar os problemas em seus aplicativos. Nove delas responderam diretamente para validar as vulnerabilidades, e três solicitaram consultas online para corrigi-las. Notou-se que, embora 26 empresas não tenham respondido, lançaram uma nova versão do app sem as vulnerabilidades relatadas. Surpreendentemente, descobriu-se que a qualidade percebida pelo usuário não está necessariamente relacionada à ausência de vulnerabilidades. Mesmo aplicativos bem avaliados podem conter falhas de segurança.
• Imprenta:
  • Local: São Carlos
  • Data de publicação: 2024
• Data da defesa: 14.06.2024

Informações sobre o DOI: 10.11606/T.55.2024.tde-20082024-083506 (Fonte: oaDOI API)
• Este periódico é de acesso aberto
• Este artigo é de acesso aberto
• URL de acesso aberto
• Cor do Acesso Aberto: gold
• Licença: cc-by-nc-sa

---

Como citar

A citação é gerada automaticamente e pode não estar totalmente de acordo com as normas

• ABNT

  COSTA JÚNIOR, Misael. Using Metamorphic Testing to Identify Authentication Vulnerabilities in Android Mobile Applications. 2024. Tese (Doutorado) – Universidade de São Paulo, São Carlos, 2024. Disponível em: https://www.teses.usp.br/teses/disponiveis/55/55134/tde-20082024-083506/. Acesso em: 30 set. 2024.

• APA

  Costa Júnior, M. (2024). Using Metamorphic Testing to Identify Authentication Vulnerabilities in Android Mobile Applications (Tese (Doutorado). Universidade de São Paulo, São Carlos. Recuperado de https://www.teses.usp.br/teses/disponiveis/55/55134/tde-20082024-083506/

• NLM

  Costa Júnior M. Using Metamorphic Testing to Identify Authentication Vulnerabilities in Android Mobile Applications [Internet]. 2024 ;[citado 2024 set. 30 ] Available from: https://www.teses.usp.br/teses/disponiveis/55/55134/tde-20082024-083506/

• Vancouver

  Costa Júnior M. Using Metamorphic Testing to Identify Authentication Vulnerabilities in Android Mobile Applications [Internet]. 2024 ;[citado 2024 set. 30 ] Available from: https://www.teses.usp.br/teses/disponiveis/55/55134/tde-20082024-083506/

Últimas obras dos mesmos autores vinculados com a USP cadastradas na BDPI:

• Automated verification of compliance of non-functional requirements on mobile applications through metamorphic testing
• Automatização de oráculos de teste para imagens médicas de modelos tridimensionais
• Teste de software e análise de qualidade em sistemas biomédicos: um mapeamento sistemático
• Dynamic testing techniques of non-functional requirements in mobile apps: a systematic mapping study
• Analyzing the effectiveness of One-Op mutation against the minimal set of mutants