عاطفه نیرومند

niroomand

مقطع: کارشناسي ارشد         شروع دوره: مهرماه 1394         پايان دوره: دی‌ماه 1396

استاد راهنما: دکتر بهمن زمانی         استاد مشاور: دکتر بهروز ترک لادانی

عنوان پايان‌نامه: راهکاری مبتنی بر مهندسی معکوس مدل‌رانده برای ارزیابی سیاست‌های کنترل دسترسی پیاده‌سازی شده

چکيده‌ي پايان‌نامه:
اندروید به ‏عنوان یک سکوی رایگان و منبع‌باز‏، به طور گسترده توسط توسعه‌دهندگان برنامه‌های موبایل مورد استفاده قرار می‌گیرد. برنامه‌های کاربردی اندروید از طریق بازارهای مختلف‏، به راحتی قابل دستیابی و دانلود هستند. از آنجا که دستگاه‌های موبایل مخزنی برای ذخیره‌ی داده‌های شخصی و حساس می‌باشند، در نتیجه رعایت حریم خصوصی و تأمین امنیت در برنامه‌های نصب شده بر روی گوشی‌های همراه به یک دغدغه تبدیل شده است. اندروید یک سیستم انتقال پیام را ارائه کرده است که می‌تواند در داخل و بین برنامه‌ها ارتباط برقرار کند. برای محافظت از دستگاه‌های موبایل و جلوگیری از هر گونه حمله‏، سیستم انتقال پیام اندروید باید به درستی مورد استفاده قرار گیرد و ضعف‌های احتمالی آن شناسایی شوند. یکی از آسیب‌پذیری‌ها در زمینه‌ی حریم خصوصی کاربران‏، دسترسی غیر مجاز به اطلاعات می‌باشد. در این زمینه‏، یک برنامه‌ مخرب می‌تواند با بهره‌گیری از حفره‌های امنیتی موجود در برنامه یا از طریق فریب کاربر برای دسترسی بیش از حد باعث آسیب‌پذیری اطلاعات و منابع حساس شود. در نتیجه باید ریسک‌های مربوط به سیستم انتقال پیام اندروید مورد ارزیابی قرار ‌گیرند و عملیات ناامن و آسیب‌پذیری‌های موجود تشخیص داده ‌شوند. ‎
‎برای این منظور، در این پژوهش رویکردی مبتنی بر مهندسی معکوس مدل‌رانده ارائه شده است که به شناسایی خودکار ریسک‌های امنیتی و آسیب‌پذیری‌های مربوط به مدل ارتباطی اندروید می‌پردازد. مهندسی معکوس مدل‌رانده می‌تواند سیستم نرم‌افزاری را در قالب مدل‌هایی نمایش دهد که باعث فهم بهتر سیستم می‌گردد. از طریق بهره‌گیری مستقیم از تکنولوژی‌ مهندسی مدل‌رانده می‌توان به شناسایی و نمایش اطلاعات امنیتی در یک سطح بالایی از انتزاع پرداخت. رویکرد پیشنهادی به تشخیص آسیب‌پذیری‌های مطرح در زمینه‌ی ارتباط‌های بین کامپوننت در برنامه‌ اندروید می‌پردازد. در این رویکرد ابتدا اطلاعات امنیتی موجود در برنامه‌ اندروید در قالب مدل‌های اولیه استخراج می‌شوند‌. سپس این اطلاعات در قالب یک مدل خاص دامنه از طریق تبدیلات مدل یکپارچه می‌شوند. بنابراین برخی از عملیات مانند پرس‌وجو روی مدل می‌تواند برای تحلیل، مدیریت پیکربندی امنیتی و تشخیص آسیب‌پذیری‌های مطرح در زمینه‌ی ارتباط‌های بین کامپوننت انجام گیرند. رویکرد پیشنهادی در قالب ابزاری تحت اکلیپس به نام ‎ VAnDroid پیاده‌سازی شده است. به منظور ارزیابی، ابزار ‎ VAnDroidبر روی 20 برنامه‌‌ موجود در فروشگاه اپ‌گوگل و 110 برنامه‌ موجود در ‏مخزن F-Droid اعمال شده است و سه ویژگی قابلیت‏‌استفاده، مقیاس‌پذیری و صحت مورد بررسی قرار گرفته‌اند. همچنین ابزار ‎ VAnDroid با چندین ابزار موجود نیز مورد مقایسه قرار گرفته است. نتایج حاکی از برتری روش پیشنهادی در مقایسه با ابزارهای موجود می‌باشد. به طور خاص مقیاس‌پذیری، قابلیت‌استفاده و دقت بالایی در کشف آسیب‌پذیری‌ها از موفقیت‌های این ابزار می‌باشد.‎

معرفی کوتاه:
عاطفه نیرومند دارای مدرک کارشناسی مهندسی کامپبوتر- نرم‌افزار از دانشگاه اصفهان در سال 13۹۴، و مدرک کارشناسی ارشد از دانشگاه اصفهان در سال‌ 13۹۶ می‌باشد. او به مهندسی نرم‌افزار مدل‌رانده، مهندسی معکوس مدل‌رانده و امنیت برنامه‌های اندروید علاقمند است. او عضو گروه پژوهشي مهندسي نرم‌افزار مدل‌رانده در دانشگاه اصفهان است.