I nd o ne s ia n J o urna l o f   E lect rica l En g ineering   a nd   Co m pu t er   Science   Vo l.   25 ,   No .   3 Ma r ch   20 22 ,   p p .   1 7 3 6 ~ 1 7 4 8   I SS N:  2 5 0 2 - 4 7 5 2 ,   DOI : 1 0 . 1 1 5 9 1 /ijeecs.v 25 .i 3 . pp 1 7 3 6 - 1 7 4 8           1736       J o ur na l ho m ep a g e h ttp : //ij ee cs.ia esco r e. co m   An inves tiga tion s tudy for  risk ca lc ula tion o secu rit y   v ulnera bilities on  a ndro id app lica ti o ns       Ra dh wa n M .   Ab du lla h 1 Ab eda lla h Z a id Ab ua lk is hik 2 ,   Na j la   M a t t i Is a a cc 1 ,   Ali A .   A lwa n 3   Yo nis   G ulza r 4   1 D i v i si o n   o f   B a si c   S c i e n c e s,  C o l l e g e   o f   A g r i c u l t u r e   a n d   F o r e st r y ,   U n i v e r s i t y   o f   M o s u l ,   M o s u l ,   I r a q   2 C o l l e g e   o f   C o m p u t e r   I n f o r mat i o n   Te c h n o l o g y ,   A meri c a n   U n i v e r si t y   i n   Th e   Em i r a t e s,  D u b a i ,   U n i t e d   A r a b   E mi r a t e s   3 S c h o o l   o f   T h e o r e t i c a l   a n d   A p p l i e d   S c i e n c e ,   R a ma p o   C o l l e g e   o f   N e w   Jers e y ,   N e w   Jerse y ,   U n i t e d   S t a t e s   4 D e p a r t me n t   o f   M a n a g e me n t   I n f o r ma t i o n   S y st e ms,   C o l l e g e   o f   B u si n e ss   A d mi n i st r a t i o n ,   K i n g   F a i s a l   U n i v e r si t y ,   A l   A h s a ,   S a u d i   A r a b ia       Art icle  I nfo     AB S T RAC T     A r ticle  his to r y:   R ec eiv ed   J u l   28 2 0 2 1   R ev is ed   Dec   24 2 0 2 1   Acc ep ted   J an   13 2 0 2 2       Ap p li c a ti o n wit h in   m o b il e   d e v ic e s,  a lt h o u g h   u se fu a n d   e n terta in i n g ,   c o m e   with   se c u rit y   risk t o   p riv a te  i n f o rm a ti o n   sto re d   with i n   th e   d e v ice   su c h   a s   n a m e ,   a d d re ss ,   a n d   d a te  o f   b i rth .   S tan d a rd s,  fra m e wo rk s,   m o d e ls,  a n d   m e tri c h a v e   b e e n   p r o p o se d   a n d   imp le m e n ted   t o   c o m b a t   th e s e   se c u rit y   v u l n e ra b il it ies ,   b u t h e y   re m a in   t o   p e rsist  to d a y .   In   t h is  re v iew ,   we   d isc u ss   th e   risk   c a lcu latio n   o a n d ro i d   a p p li c a ti o n wh ich   is  u se d   to   d e t e rm in e   th e   o v e ra ll   se c u rit y   o a n   a p p li c a ti o n .   Be sid e s,  we   a lso   p re se n a n d   d i sc u ss   th e   p e rm issio n - b a se d   a c c e ss   c o n tr o m o d e ls  t h a c a n   b e   u se d   to   e v a lu a te  a p p li c a ti o n   a c c e ss   to   u se d a ta .   Th e   stu d y   a lso   fo c u se o n   e x a m in in g   t h e   p re d ictiv e   a n a ly sis  o f   se c u rit y   r i sk u sin g   m a c h in e   lea rn i n g .   W e   c o n d u c a   c o m p re h e n siv e   re v iew   o t h e   lea d i n g   stu d ies   a c c o m p li sh e d   o n   in v e stig a ti n g   th e   v u ln e ra b il it ies   o t h e   a p p li c a ti o n f o th e   A n d r o id   m o b il e   p lat fo rm Th e   re v iew   e x a m in e v a ri o u we ll - k n o wn   v u ln e ra b il i ti e p re d ictio n   m o d e ls  a n d   h ig h li g h ts  th e   so u rc e o th e   v u ln e ra b il it ies ,   p re d ictio n   t e c h n iq u e ,   a p p li c a ti o n a n d   th e   p e rf o rm a n c e   o th e se   m o d e ls.   S o m e   m o d e ls  a n d   fra m e wo rk p ro v e   to   b e   p ro m is in g   b u t h e re   is  stil m u c h   m o re   re se a r c h   n e e d e d   t o   b e   d o n e   re g a rd i n g   se c u rit y   f o An d ro i d   a p p li c a ti o n s.   K ey w o r d s :   Acc ess   co n tr o l   An d r o id   Pre d ictiv an aly s is   R is k   as s ess m en t   Secu r ity   m etr ics     T h is i a n   o p e n   a c c e ss   a rticle   u n d e r th e   CC B Y - SA   li c e n se .     C o r r e s p o nd ing   A uth o r :   Yo n is   Gu lzar   Dep ar tm en t o f   Ma n ag em e n t I n f o r m atio n   Sy s tem s ,   C o lleg o f   B u s s in ess   Ad m in is tr atio n   Kin g   Fais al  Un iv er s ity Al - Ah s a,   Sau d i A r ab ia   E m ail:  y g u lzar @ k f u . e d u . s a       1.   I NT RO D UCT I O N     Mo b ile  d ev ices  ar v er y   p o p u lar   to d ay   a n d   p lay   cr iti ca r o le  in   th ev er y d ay   liv es  o f   m o s   h u m an s   [ 1 ] .   T h m ajo r ity   o f   t h ese  d ev ices  ar s o   u s ef u b ec au s th ey   co n tain   an d r o id   a p p licatio n s   [2 ] - [ 5 ] .   I n   m o s ca s es,  th ese  ap p licatio n s   r eq u ir s en s itiv p e r s o n al  in f o r m atio n   s u ch   as  n am e,   ad d r ess an d   d ate  o f   b ir t h Secu r ity   v u ln er a b ilit ies  in   th ese  ap p licatio n s   ca n   b c atastro p h ic  to   th u s er s .   T o   c o m b at  th ese  v u ln er ab ilit ies,  we  m u s p er f o r m   th o r o u g h   an aly s is   an d   m ak e   o r   u ti lize  m o d el  t o   f o r esee  th ese  v u l n er ab ilit ies.  I n   th is   liter atu r r ev iew,   we  will  ex p lo r f ew  s ec u r ity   m ea s u r e s   th at  h av b ee n   u s ed   to   d o   ju s th at.   T h f ir s m ea s u r o r   m o d el  th at   we  d ec id ed   to   co n d u ct  m o r e   r esear ch   o n   was  r is k   ca lcu latio n s ,   wh i ch   s h o u l d   b e   u s ed   to   d eter m in h o s ec u r an   a p p licatio n   is .   T h s ec o n d   m ea s u r we  d ec id ed   to   ex p lo r was  ac ce s s   co n tr o l,  f o r   th is   m etr ic  we  d ec id ed   to   d iv d ee p   in to   th in g s   s u ch   as  p er m is s io n - b ased   ac ce s s   an d   h ea lth ca r ap p licatio n s   wh er u s er   p r i v ac y   is   ev en   m o r cr itical.   T h last   m ea s u r we  ch o s to   r ev iew  is   p r e d ictiv an aly s is ,   we  k n ew   th at  th er h as  b ee n   h u g in c r ea s in   th p o p u lar ity   o f   m ac h in lear n in g   a n d   ar tific ial  in t ellig en ce .   W ca m e   Evaluation Warning : The document was created with Spire.PDF for Python.
I n d o n esian   J   E lec  E n g   &   C o m p   Sci     I SS N:   2502 - 4 7 5 2         A n   in ve s tig a tio n   s tu d y   fo r   r is ca lcu la tio n   o f secu r ity  vu ln e r a b ilit ies o n   …  ( R a d h w a n   M.  A b d u lla h )   1737   to   k n o th at  th is   co u ld   b v e r y   b en ef icial  to   f in d i n g   s ec u r it y   v u ln er a b ilit ies an d   allo win g   u s   to   en jo y   o u r   a p p s   with o u t f ea r   o f   cy b er attac k s .   T h er h a v b ee n   m an y   s tu d ies  f o cu s ed   o n   s ec u r ity   m etr ic s   f o r   An d r o id   Mo b ile  ap p lica tio n s   as  r esu lt  o f   th r ec en in cr e ase  o f   r esear ch   in ter est  in   th ar ea   o f   An d r o id   s m ar tp h o n e   s ec u r ity .     Go n za lez  et  a l [ 6 ]   in v esti g ated   s tr in g   o f f s et  o r d er ,   n ew  ea s y - to - ex tr ac f u n ctio n .   T h ey   wer ab le  to   r ec o g n ize  th s y m p to m s   o f   r e v er s e - d esig n ed   An d r o id   a p p li ca tio n s   u s in g   th eir   to o l,  wh ich   d id   n o r e q u ir an y   f u r th er   r esear ch .   T h ey   u s ed   d atasets   f r o m   th An d r o id   Ma lwar Gen o m Pro ject,   D r o id   An aly tics ,   an d   Dr eb in   to   test   th Strin g   Or d er   m etr ic' s   ca p ab ilit ie s .   I n   ad d itio n ,   o v er   5 , 0 0 0   An d r o i d   ap p licatio n s   wer r etr iev ed   f r o m   th Go o g le  Play   Sto r e,   an d   o v er   8 0 , 0 0 0   s am p les  f r o m   th Vir u s   T o tal  s er v ice  wer an aly s ed   o n   wid e   s ca le.   I n   a   co m p r e h en s iv r ev iew  o f   s o m e   r ep a ck ag in g   e x p lo r atio n   tech n iq u es.  Of f lin an d   web   tech n o lo g ies  ar e   th two   b asic  f o r m s   o f   tech n o lo g y .   T h e y   ea ch   h av e   th eir   f ea tu r e.   tec h n o lo g y   th at   is   u s ed   o f f lin ca n n o b r ep lace d   b y   to o th at  is   u s ed   o n lin e   an d   v ice  v e r s a.   Of f lin tech n o lo g ies  ar f o r   th e   s m ar tp h o n s to r o wn e r ' s   d i r ec u s e,   wh ile  o n lin tech n o lo g ies  ar f o r   An d r o id   u s e r s '   d ir ec u s e.   W e   in v esti g ate  v ar iety   o f   o n li n an d   o n lin e - r elate d   tech n o lo g y .   T h ese  tech n o l o g ies  d e s cr ib s u b s et  o f   tech n o lo g ies th at  u s v ar io u s   f ea tu r es a n d   m etr ics to   d is co v e r   ap p licatio n   s im ilar ities   [ 7] - [ 1 0 ]   T h r esear ch   c o n d u cted   b y   Or d o ñ ez - Or d o ñ ez   et  a l .   [ 11 ]   e x a m in es  th r eliab ilit y   o f   m o b il b an k i n g   ap p licatio n s   f r o m   b o th   t h in s id an d   o u t.  T h a u th o r s   u s ed   b lo g   m in i n g   as  a   r esear c h   m eth o d   to   co m b   th r o u g h   b lo g   p o s ts   ab o u m o b ile  b an k in g   ap p   p r o tectio n .   Secu r ity   th r ea ts ,   ass u r an ce   p r o to co ls /b est  p r ac tices,  an d   p o te n tial  s e cu r ity   p atter n s   ar o u tlin ed   to   ass is b an k s   an d   cu s to m er s   in   r ed u ci n g   th s ec u r ity   r is k s   in v o lv ed   with   r a n g o f   f in a n cial  ap p licatio n s .   s tu d y   p r esen ted   b y   Z h e n g   et  a l [ 1 2 ]   l o o k ed   at  n u m er o u s   s ec u r ity   v u ln e r ab ilit ies  in   An d r o id   p o r tab le  ap p licat io n s ,   esp ec ially   f o r   s en s itiv ap p licatio n s ,   a n d   co n ce n tr ated   o n   an al y s in g   p o p u lar   s ec u r ity   attac k s   o n   c ell  p h o n a p p licatio n s .   Pre lim in ar y   s tu d ies  to   d eter m in th e   f ea s ib ilit y   an d   co m p lex ity   o f   a p p ly in g   s ec u r i ty   attac k s   to   th v ital  m o b ile   m is s io n   ap p lica tio n ,   f in d in g   cu r r e n s o lu tio n s   a n d   r esear ch   h o les,  a n d   r ec o m m e n d in g   r esear c h   d ir ec tio n s   Usi n g   n u m er o u s   h ac k in g   m eth o d s   an d   tactics,  we  s u cc ess f u lly   co n d u cted   th r ee   r ep ac k ag in g   attac k s   to   o b tain   ac ce s s   to   v ictim   f iles .   W e   ev alu ate  th ex te n o f   r is k   a n d   r e co m m en d   tech n o lo g ical   m itig atio n   b y   ev alu atin g   th ese  s ce n ar io s .   T h r esear ch   ca r r ie d   o u b y   Kh o k h lo v   a n d   R ez n ik   [ 1 3 ]   d escr ib es   in f o r m atio n   p r o tectio n   an d   q u ality   ass ess m en ap p r o ac h   b ased   o n   p r o b a b ilis tic  ass e s s m en o f   d is r u p tiv b eh av io u r s   th at  ex p lo it  An d r o id   o p er atin g   s y s tem   f ea tu r es a n d   b u g s   in   th s am way   th at  in s talled   ap p s   ca n .   I d ep icts   th An d r o i d   OS e n g in ee r in g   f u n ctio n alit y   ass o ciate d   with   p r o tectio n   an d   m ajo r   s ec u r ity   t o o ls .   T h e   p ap er   d e m o n s tr ates  th m ea s u r em en ts   ch o s en   f o r   in f o r m atio n   s ec u r ity   ass ess m e n t a n d   th ap p r o ac h   d ev elo p ed   to   co m b in th em ,   r esu ltin g   in   an   o v er all  s ec u r ity   ev alu atio n   s co r t h at  ad d r ess es  s en s o r - b ased   in f o r m atio n   d ep en d a b ilit y .   T h c o u n o f   i n s tan ce s   o f   th to tal   s ec u r ity   ass ess m en t r an k in g   is   ad d ed   a n d   d is s ec ted .   T h e   r em ain d er   o f   th is   p ap er   i s   o r g an ized   as  f o llo ws.  Sectio n   2   elab o r ates  th r is k   v alu ca lcu latio n   o f   a p p licatio n s   in   th e   m ar k etp lace .   T h e   d is cu s s io n   e n co m p ass es  elu cid atin g   th e   v u ln e r ab ilit ies  o f   th m ajo r   ch an g es  to   th An d r o id   p er m is s io n   s y s tem   an d   d escr ib in g   th lev els  o f   th r ea b ased   o n   th g iv en   s co r e.   I n   s ec tio n   3 ,   th e   ac ce s s   co n tr o l   s ec u r ity   in   An d r o id   ap p lica tio n s   h as  b ee n   p r esen ted   a n d   ex a m in ed .   d escr ip tio n   o f   th m o b ile  ap p   d e v elo p m en af f ec ted   b y   ac ce s s   co n tr o v u ln er a b ilit ies  h as  b ee n   g iv en .   Fu r th er m o r e,   v ar io u s   ac ce s s   co n tr o m etr ic s   th at  ar u s ed   to   ass ess   th e   r is k   o f   ac ce s s   co n tr o f u n ct io n ality   in   m o b ile  ap p licatio n s   ar elab o r ated .   Sev er al  f r am ewo r k s   th at  co u ld   b u tili s ed   to   m o d er ate  d ata  ac ce s s   f o r   m o b ile  ap p licatio n   d ev elo p m e n ar also   ex p lain ed .   T h p r e d ictiv an aly s is   to   co m b at  s ec u r it y   v u ln e r ab ilit ies  is   d em o n s tr ated   i n   s ec tio n   4 .   T h d is cu s s i o n   in clu d es  d escr ib in g   th e   s ec u r ity   m ec h an is m s   th at  h av e v o lv e d   with   m illi o n s   o f   ap p licatio n s   in   th p ast,  as  well  as  i n n o v ativ tec h n o l o g ies  th at  co u ld   o f f er   m o r e   s o p h is ticated   s ec u r ity .   T h co n clu s io n   is   d ep icted   in   th f in a l sectio n ,   s ec tio n   5 .       2.   RIS K   VA L UE   C AL C UL A T I O O F   AP P L I CA T I O N I T H E   M ARK E T P L ACE   Sm ar tp h o n e   ap p licatio n s   a r an   ess en tial  p ar o f   o u r   d aily   life .   Fro m   s o cial  m ed ia   to   b an k in g   to   ac ce s s   m ed ical  r ep o r ts ,   we  ar u s in g   m o b ile  ap p licatio n s   f o r   ea s o f   ac ce s s   [ 14 ] - [ 17 ] .   Mo r th an   8 0 %   o f   s m ar tp h o n es  r u n   o n   th A n d r o id   o p er atin g   s y s tem   [ 18 ] .   Su ch   d o m in a n ce   in   th m ar k et  a ls o   m ak es  An d r o id   an   ex clu s iv tar g et  f o r   m o b ile   th r ea ts .   Secu r ity   m ec h an is m s   ar n ee d ed   f o r   s u ch   a p p licatio n s   co n s id er in g   t h e   s en s itiv ity   o f   th e   d ata.   W h en   we  wan to   in s tall  an y   ap p   f r o m   th A n d r o i d   Play s to r e,   it  d o es  ask   p er m is s io n   t o   ac ce s s   p er s o n al  d ata,   l o ca tio n ,   ca m er etc.   So m m alicio u s   ap p licatio n s   tak a d v an ta g o f   th ese  p er m is s io n s ,   as m o s t   o f   th u s er s   ten d   to   ac ce p t th clau s with o u t th in k in g   ab o u t th im p ac ts   d u to   th co m p lex   lan g u a g e   in   th clau s o r   th lack   o f   tim o r   u n d er s tan d in g .   On ce   th ese  m alicio u s   ap p licatio n s   g ain   ac ce s s   to   th p er s o n al  d ata,   t h ey   ca n   ac ce s s   o u r   lo c atio n ,   p h o to s ,   ca m er a,   in ter n et,   o r   an y t h in g   t h ey   ca n   u s f o r   th attac k   [ 19 ] - [ 24 ] .   Du e   to   th e   m ass iv co llectio n   o f   ap p licatio n s   o n   th p lay   s to r e,   it  is   d i f f icu lt  t o   r ec o g n ize  wh ic h   ap p licatio n s   ar g en u in an d   wh ich   ar n o t.  Sin ce   An d r o id   allo ws  th ir d - p ar ty   d ev elo p er s   ap p licatio n s   to   b r elea s ed   in   th p lay - s to r s e c u r ity   ca n n o b g u a r an teed   f r o m   th o s ap p licatio n s   as  well.   Als o ,   s o m e   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   2 5 0 2 - 4 7 5 2   I n d o n esian   J   E lec  E n g   &   C o m p   Sci Vo l.  25 ,   No .   3 Ma r ch   20 22 :   1 7 3 6 - 1 7 4 8   1738   u n o f f icial  m a r k ets  d o   n o h a v an y   ce n tr alize d   co n tr o s o   u n tr u s ted   d ev elo p er s   ca n   d is tr ib u te  m alicio u s   ap p licatio n s .   Play s to r its elf   ca n n o tr ac k   all  th ap p licatio n s   y et  f o r   its   m ali cio u s n ess   an d   co m m o n   u s er s   d o   n o t   h av th u n d e r s tan d in g   t o   id e n tify   wh ich   a p p licatio n s   ca n   m is u s th eir   d ata.   T h e r s h o u l d   b m ec h an is m   in   th Ap p S to r e,   th at  ca n   in d icat th s ev er ity   o f   th r is k   p o s e d   b y   th a p p licatio n s   if   we  ac ce p th p er m is s io n   cla u s [ 25 ] - [ 30 ] .   T h er n ee d s   to   b s o m s co r in g   s y s tem   th at  ca n   d ef in h o s af is   th ap p   to   in s tall  with o u co m p r o m is in g   p er s o n al  d ata.   Fig u r 1   s h o ws  th tim elin o f   th An d r o id   ev o l u tio n   with   v u ln er ab ilit ies  an d   v er s io n   u p d ates.  On   m an y   o cc asio n s ,   attac k er s   wer ab le  to   g ain   r o o t p r iv ileg es to   tak o v er   th co n tr o l o f   th e   d ev ice.   An d r o id   a p p licatio n s   p u th ei r   u s er s   at  r is k   in   v ar iety   o f   way s ,   s u ch   as  b y   u s in g   co d e   th at  m ay   jeo p ar d ize  u s er   p r iv ac y   o r   d e v ice  in teg r ity   [ 31 ] [ 32 ] .   T h m ajo r ity   o f   ex is tin g   s ec u r ity   c o u n ter m ea s u r es  f o r   id en tify in g   u n s af ap p licatio n s   h av f laws,  m o s o f   wh ich   ar lin k ed   to   d ev ices  co m p r eh e n s io n   an d   ac ce p tan ce .   As  r esu lt,  co n s u m er s   will  b en ef it  f r o m   cl ea r   b u s u cc ess f u m eth o d   o f   d eter m in in g   if   a n   ap p licatio n   i s   s ec u r e.   An d r o id   ap p licatio n s   p o s m an y   r is k s   to   th eir   u s er s ,   e. g . ,   b y   in clu d in g   co d th at  m ay   th r ea ten   u s er   p r iv ac y   o r   s y s tem   in teg r ity   [ 3 1 ] [ 3 2 ] .   Mo s o f   th cu r r en s ec u r ity   co u n ter m ea s u r es  f o r   d etec tin g   d a n g er o u s   ap p s   s h o s o m wea k n ess es,  m ain ly   r elate d   to   u s er s   u n d er s tan d in g   an d   ac ce p tan ce .   As  r esu lt,  co n s u m er s   will  b en ef it  f r o m   an   ea s y   b u r eliab le  m eth o d   f o r   d eter m in in g   if   an   ap p licati o n   is   s af to   in s tall o r   n o t.           Fig u r 1 .   Vu l n er ab ilit ies an d   t im elin o f   m ajo r   ch an g es to   th an d r o i d   p er m is s io n   s y s tem   [ 3 3 ]       M u l t i - c r it e r i a   s o f t w a r e   e v a l u a to r   o f   c o n f i d e n c e   f o r   A n d r O I D   ( M A E T R O I D i s   o n e   o f   t h e   p r o p o s e d   f r a m e w o r k s   f o r   e v a l u a t i n g   t h e   t r u s t w o r t h i n e s s   o f   A n d r o i d   a p p l i c a ti o n s   a s   d e p i c t e d   i n   Fi g u r e   2   [ 32 ] .   I t   e v a l u a t e s   t h e   a u t h e n t i c it y   o f   t h e   a p p   b e f o r e   i n s t a ll a t i o n   u s i n g   a n a l y t i c al   h i e r a r c h y   p r o c e s s   ( AH P )   [ 34 ] .   T h i s   e v a l u a t i o n   i s   l a b e l l e d   t o   t h e   a p p   t o   r a n k   t h e   r i s k   m e t r i c .   T h e   g o a l   o f   t h i s   f r am e w o r k   i s   t o   a s s i g n   l a b e ls   t o   t h e   a p p l i c a t i o n s   f r o m   T r u s t e d ,   M e d i u m   o r   h i g h   r i s k   b y   c o m p u t i n g   a n d   c o m p a r i n g   a l t e r n a t i v es   a n d   c r i t e r i a .   I t   c a l c u l a te s   t h e   t h r e at  s c o r e   u s i n g   a   w e i g h t e d   a n d   n o r m a l i z e d   t o t al   o f   s i n g l e   t h r ea t   s c o r es   o b t a i n e d   b y   m a n u a ll y   r e v i e w i n g   a ll   o f   A n d r o i d ' s   p e r m i s s i o n s .   T h e   MA E T R O I D   p l a t f o r m   h a s   b e e n   t u r n e d   i n t o   a n   A n d r o i d   a p p l i c a t i o n   [ 32 ] .   W h e n   a   n e w   a p p   i s   g e t ti n g   i n s ta l l e d ,   MA E T R O I D   i n t e r ce p t s   t h e   i n f o r m a t i o n   a n d   d o e s   t h e   a n a l y s i s   an d   s h o w s   t h e   t h r e at  s c o r e   t o   t h e   u s e r .   T a b l e   1   o u t l in e s   t h e   d e t a i ls   o f   t h e   t h r e a t   l e v e l s   a n d   t h e i r   m e a n i n g .   T h e   t h r e a t   s c o r e   is   u s e d   t o   d e t e r m i n e   p r i v a c y   t h r e a t ,   f i n a n c i a l   t h r e at ,   s y s t e m   t h r ea t ,   a n d   g l o b a l   t h r e a t .   Evaluation Warning : The document was created with Spire.PDF for Python.
I n d o n esian   J   E lec  E n g   &   C o m p   Sci     I SS N:   2502 - 4 7 5 2         A n   in ve s tig a tio n   s tu d y   fo r   r is ca lcu la tio n   o f secu r ity  vu ln e r a b ilit ies o n   …  ( R a d h w a n   M.  A b d u lla h )   1739   T ab le  1 .   T h r ea lev els   [ 1 9 ]   G i v e n   S c o r e   M e a n i n g   0   N o   T h r e a t   0 . 2   N e g l i g i b l e   0 . 4   Li mi t e d   0 . 6   S i g n i f i c a n t   0 . 8   R e l e v a n t   1   M a x i m u m           Fig u r 2 .   MA E T R OI D   class if icatio n   p r o ce s s   [ 19 ]       R ef er en ce d   ar ticles  m en tio n   d if f er en s o lu ti o n s   p r o p o s e d   to   in cr ea s s ec u r ity   m e asu r es  wh ile  in s tallin g   an y   An d r o id   ap p .   Sev er al   p r o p o s als  s u g g est  th at  s co r in g   s y s tem   will  h elp   e n s u r co m m o n   u s er s   ar awa r o f   th ese  im p ac ts   b ef o r th ey   ca n   in s tall  th ap p   an d   it  will  h elp   th em   t o   d ec id e   to   ac ce p th r is k   o r   n o t.  So m s u g g ested   ca lcu latin g   s ec u r ity   r is k   s co r es b ased   o n   p er m is s io n s   d em an d ed   b y   An d r o id   a p p licatio n s   u s in g   cr awl  m o d els an d   s tatis t ical  m ea s u r em en ts   [ 35 ] .   Fo r   an   an d r o id   d ev ice,   th r is k   v alu e   c alcu latio n   p r o ce s s   is   u s ed   to   m ea s u r e   r is k   v alu es.  Op tim al  r is k   v alu is   ev alu ate d   b ased   o n   a   s et  o f   s elec ted   m alwa r an d   n o r m al  a p p licatio n s .   Ap p licatio n   is   p r o ce s s ed   to   ex tr ac d ata  an d   th en   th r is k   is   esti m ated   u s in g   th r is k   p ar am eter s   an d   th en   th f in al  r is k   v alu is   ca lcu lated .   E x tr ac tio n   o f   d ata  g ets th p er m is s io n s ,   API   ca l ls ,   r eso u r ce s ,   in ten tio n s .   Hig h   r ated   m alicio u s   ap p licatio n s   ar e   u s ed   f o r   s am p lin g   th e   r is k   as s o ciate d .   T h is   way   r is k   v alu e   is   ca lcu lated ,   a n d   th p o ten ti al  o f   th m alicio u s   ap p licatio n   ca n   b e   d eter m i n e d .   W h en   a   u s er   wan ts   to   in s t all  th ap p licatio n ,   r is k   v alu e   ca lcu latio n   ( R VC )   ex tr ac ts   f ea tu r es  f r o m   th APK  f ile  an d   th ey   ar m atch ed   w ith   th d atab ase  s to r ed   with   h ig h - r is k   f ea tu r es  an d   th en   it c an   ac cu r ately   esti m ate  th r is k   t h ap p licatio n s   p o s s ess   as sh o wn   in   Fig u r 3   [ 18 ] .   Fig u r 4   s h o ws  th R VC   f i n d in g s   as  well  as  th as s o ci ated   r is k   s tep s   [ 18 ] .   T h p er ce n tag o f   m alicio u s   ap p l icatio n s   is   u s ed   to   p ick   an d   id en tify   ea ch   s o r t ed   lis t.  T h alar m in g   r ate  an d   id en tific atio n   r ate   ar th ter m s   u s ed   to   d escr ib th ese  two   ac ts .   S in ce   th er is   n o   ab s o lu te  aler r ate  th r esh o ld   v alu f o r   o u r   ass es s m en p r o ce s s ,   an d   it  i s   also   in d ep en d e n o f   th r i s k   v alu co llectio n ,   we  m u s m ak r atio n al   d is tin ctio n   b etwe en   th em   at  th at  s tag e.   Similar   to   R V C ,   o n m o r s co r in g   s y s tem   f r ee   u p d ate  m ea n   ( FUM )   s co r in g   is   av ailab le  to   u s [ 2 ] .   Fig u r 5   illu s tr ates   th lis o f   v u ln er ab ilit ies  d is co v er ed   an d   p atch ed   o v er   tim e   as r ep o r ted   in   [ 2 ] .   T h FUM  Secu r ity   m atr ices  a r u s ed   to   r ate  s y s tem   v en d o r s   an d   n etwo r k   o p er ato r s   b ased   o n   th eir   ab ilit y   to   p r o v id u p g r ad es  a n d   th eir   v u ln er a b ilit y   to   cr itical  v u ln er ab ilit ies.  d if f icu lt - to - g am co m p o s ite  FUM  r an k in g   ( § 5 . 7 ) .   B y   r e d u cin g   k n o wled g asy m m etr y ,   t h FUM  [ 1 ]   s co r e   allo ws  p r iv ate  an d   p u b lic  s ec to r   co n s u m er s ,   as  well  as  i n d iv id u als,  to   m a k m o r e d u ca ted   b u y in g   d ec is io n s .   T h ese  m etr i cs  f r ee ,   u p g r a d a n d   m ea n   ( F,  U,   M)   to g eth er   ca lc u late  p latf o r m ' s   p r o tectio n   i n   ter m s   o f   k n o wn   v u ln e r ab ilit ies  an d   u p g r ad es  b y   ca lcu latin g   th p r o p o r tio n   o f   o p er atin g   d e v ices  f r ee   o f   c r itical  v u ln er ab ilit ies,  th p r o p o r tio n   o f   d ev ices   r ec eiv in g   t h m o s r ec e n An d r o id   v e r s io n   u p d ates,  an d   th e   m e an   am o u n o f   v u ln er a b ilit ies  y et  to   b e   p atch e d .   T h FUM  s co r is   ten - p o in s ca le  th at  ca n   b m ea s u r ed   [ 1 ] .   W g iv F   m o r weig h b ec au s it  i s   th m o s im p o r tan m etr ic.   W m ap   M   in to   th r an g ( 0 1 )   s in ce   it  is   an   u n b o u n d ed   p o s itiv r ea n u m b er .   As  r esu lt,   we  h av th FUM  s co r e:       = 4 + 3 + 3 2 1 +   ( 1 )     T h FUM  s ec u r ity   m etr ic  e v al u ates,  an d   r ates  s y s tem   v e n d o r s   an d   n etwo r k   o p er ato r s   b ase d   o n   th eir   ab ilit y   to   p r o v id u p g r ad es  a n d   th eir   v u ln er a b ilit y   to   cr u cial  v u ln er ab ilit ies.  B u y er s   an d   r eg u lato r s   will  u s e   Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   2 5 0 2 - 4 7 5 2   I n d o n esian   J   E lec  E n g   &   C o m p   Sci Vo l.  25 ,   No .   3 Ma r ch   20 22 :   1 7 3 6 - 1 7 4 8   1740   th m ea s u r e   to   s ee   wh ich   s y s tem   v en d o r s   an d   n etw o r k   p r o v id e r s   h av e   u p g r a d es  an d   wh ic h   d o   not .   C o n s id er in g   MA E T R OI is   alr ea d y   im p lem en ted   with   th An d r o id   m ar k et p lace ,   an d   it  i s   ea s ier   f o r   t h u s e r   to   u n d er s tan d   t h th r ea s co r e   b ef o r in s tallin g   th ap p ,   it  is   th p r ef er r ed   f r am ewo r k   to   u s f o r   p r e v en t in g   m alicio u s   ap p licatio n s .           Fig u r 3 .   R VC   r is k   esti m ate  m o d el   [ 18 ]           Fig u r 4 .   Me asu r t h r is k   r ate   [ 36 ]           Fig u r 5 .   Vu l n er ab ilit ies   d is co v er ed   an d   p atch e d   o v er   tim [ 2 ]     Evaluation Warning : The document was created with Spire.PDF for Python.
I n d o n esian   J   E lec  E n g   &   C o m p   Sci     I SS N:   2502 - 4 7 5 2         A n   in ve s tig a tio n   s tu d y   fo r   r is ca lcu la tio n   o f secu r ity  vu ln e r a b ilit ies o n   …  ( R a d h w a n   M.  A b d u lla h )   1741   3.   M E T H O D   g r o win g   ar ea   o f   co n ce r n   f o r   d ev elo p er s   an d   u s er s ,   r eg a r d in g   d ata  s ec u r ity   in   m o b ile  ap p licatio n s is   p r o p er   ac ce s s   co n tr o l.  Ap p li ca tio n s   th at  d o   n o tak c o n s id er atio n   in   im p lem en tin g   a n   ac ce s s   co n tr o m o d el   ca n   b tak e n   ad v an tag e   o f   t o   ac ce s s   p r iv ate  u s er   d ata.   T h i s   is   an   ar ea   o f   r esear ch   th at   is   s till   lo o k in g   in to   d ev elo p in g   f r am ewo r k s   an d   m o d els  to   u s as  m etr ic  to   i n co r p o r ate  ac ce s s   co n tr o f o r   m o b ile  ap p licatio n s .   T h f o llo win g   s u b s ec tio n s   p r e s en t a n d   d is cu s s   th ac ce s s   co n tr o l secu r ity   in   A n d r o id   ap p licatio n s .     3 . 1 .     M o bil a pp lica t io dev elo pm ent   a f f ec t ed  by   a cc ess   co ntr o l v uln er a bil it ies   co r n e r s to n to   ac ce s s   co n tr o in   An d r o id   a p p licatio n s   is   p er m is s io n - b ased   ac ce s s .   Alth o u g h   m o s t   ap p licatio n s   r e d ir ec p e r m is s io n s   to   th e   OS,  s o m e   ap p licati o n s   r eq u ir e   s elec p er m is s io n s   wh ich   g r an t   th em   ac ce s s   to   ad d itio n al  u s er s’   in f o r m atio n .   T h is   h as  th p o s s i b ilit y   o f   b ein g   ex p l o ited   b y   h av in g   ap p licatio n s   co m m u n icate   th e r ef o r ex p a n d in g   p er m is s io n s   an d   allo w in g   u s er   d ata  to   b m o r ea s ily   ac ce s s ib le.   T h ch a llen g es  to   c u r r e n p er m is s io n - b ased   ac ce s s   h av e   m o s t ly   to   d o   with   u s er   a n d   d ev elo p er   p er m is s io n   co m p r eh e n s io n   [ 36 ] .   I f   th s tak eh o ld er s   o f   m o b ile  a p p   d o   n o co m p r eh e n d   wh e n   p e r m is s io n   ac ce s s   to   r eso u r ce s   o n   a   m o b i le  d e v ice  is   s u itab le,   th e n   it   ca n   b an   o p en in g   f o r   m alicio u s   b eh av io u r .   T h e   v u ln er ab ilit ies  o f   ac ce s s   co n tr o m ay   n o b ac k n o wled g e d   b y   m o s u s er s   o f   p o p u lar   ap p l icatio n s   [ 37 ] - [ 40 ] h o wev er ,   th is   ca n   im p ed d ev elo p m en in   m o b ile  ap p lic atio n s   th at  r eq u ir th s ec u r ity   o f   co n f id e n tial  in f o r m atio n   s u ch   as  m ed ical  r ec o r d s .   Hav in g   m etr ic  f o r   a cc ess   co n tr o s ec u r ity   co u ld   h elp   d ev elo p er s   h av e   b etter   u n d er s tan d in g   o f   a p p r o p r iate  p er m is s io n s   wh ile  m in im izin g   th r is k   o f   p o s s ib le  m alicio u s   b eh av io u r .     3 . 2 .     M et rics  f o a cc ess   co ntr o l securit y   A cc ess   co n tr o s ec u r ity   is   e s s en tial  in   s o m in d u s tr ies  s u ch   as  th m ed ical  f ield   d u to   th e   im p o r tan ce   o f   p r iv ate  m ed ical   in f o   r m atio n .   Fo r   m o b ile  ap p l icatio n s   to   b u s ed   in   s h ar in g   cr itical  in f o r m atio n   it  is   im p o r tan to   h av m o d e o r   f r am ewo r k   to   ass ess   d ata   s ec u r ity   r is k s .   Alth o u g h   th er ar f ew  s tan d ar d s   in   p lace   to   h elp   s ec u r p r iv at in f o r m atio n ,   th er is   o n g o in g   r esear c h   o n   cr ea tin g   s et   o f   m etr ics  to   b est   ass es s   th r is k   o f   ac ce s s   co n tr o f u n ctio n ality   in   m o b ile  ap p licatio n s .   B elo ar th r ee   r ec en tly   p r o p o s ed   ac ce s s   co n tr o m et r ics  an d   f r a m ewo r k s   th at   d ev el o p er s   ca n   u s to   m o d er ate   d ata   ac ce s s ,   s o m o f   wh ich   ar e   in s p ir ed   b y   s ec u r i n g   p r iv ate  m ed ical  in f o r m atio n .   So cio - tech n ical  r is k - a d ap tab le  ac ce s s   co n tr o l   ( So T R AACE ) .   Mo d el  o f   r is k   ass es s m en t:  h ea lth   ca r p r o f ess io n als  r ely   h ea v ily   o n   r o le - b a s ed   ac ce s s   co n tr o l.  Du to   ac ce s s   co n tr o v u ln er a b ilit ies  in   m o b ile  An d r o id   ap p licatio n s ,   it  ca n   b a   g r ea s ec u r ity   r is k   if   r o les   co u ld   o b tain   p er m is s io n   to   u n au th o r ize d   m ed ical  in f o r m at io n .   T o   r ed u ce   s ec u r ity   r is k   n ew  h y b r id   r is k   ass es s m en t to   th ac ce s s   co n tr o l m o d el  ca lled   So T R AACE  h as b ee n   p r o p o s ed .     T h r is k   ass ess m en m etr ic  is   ca lcu lated   u s in g   r is k   r a n k in g   with   a   r esp ec tiv e   r is k   f ac to r ,   an d   t h e   weig h o f   th r is k   wh ic h   was  d eter m in ed   b y   ex p er ts   in   New   Delp h s tu d y   [ 19 ] .   T h p r o to ty p ap p   t h at  is   u s ed   to   im p lem en So T R AACE  h an d les  r is k - ad ap tab le  d ec is io n s   b y   u tili zin g   th u s er s   lo ca tio n   an d   co n n ec tio n s   [ 19 ] .   T h is   p er m is s io n - b ased   ac ce s s   co n tr o l c an   b lar g ely   c u s to m izab le  b ased   o n   q u a n titativ an d   q u alitativ d ata  p r o v id e d   b y   its   u s er s .   Ho wev er ,   th er is   litt le  av ailab le  r esear ch   to   c o m p ar th h y b r id - r is k   ass es s m en p r o ce d u r es  o f   th is   m o d el  to   o th e r s .   Als o ,   th r is k   f ac to r s   u s ed   to   ca lcu late  r i s k   ass es s m en ar s m all  an d   co u ld   i n clu d m o r co n tex t   to   th e   d ata   b ein g   a s s es s ed .   OW ASP  T o p   1 0   M o b ile  R is k s An o th er   h ea lth ca r in s p ir ed   ac ce s s   co n tr o f r am ewo r k   f o r   d ev elo p e r s   is   o p en   web   ac ce s s   s ec u r it y   p r o ject  ( OW ASP)  T o p   1 0   Mo b ile  R is k s .   T h f r am ewo r k   co n s is ts   o f   1 0   m etr ics  th at  allo w s   tech n ical  au d ito r   to   id en tify   th e   s ec u r ity   v u ln er ab ilit ies  o f   th eir   ap p licatio n   as  d em o n s tr at ed   in   Fig u r 6   [ 41 ] .   T h m e tr ics   wer u s ed   to   ev alu ate  W eb MD   Aller g y   an d   T r ac k   My   Me d ical  R ec o r d s   m o b ile  ap p licatio n s .   Usi n g   t h OW AS T o p   1 0   Mo b ile  R is k s   ch ec k lis s ec u r ity   r is k   o f   T r ac k   M y   Me d ical   R ec o r d s   was  d is co v er ed   [ 26 ] .   Alth o u g h   th r is k   ch ec k lis p r o v ed   th at   tr ac k   m y   m ed ical   r ec o r d s   h a d   s ec u r ity   v u ln er ab ilit y ,   t h ef f ec tiv en ess   o f   th e   f r am ewo r k   n ee d s   to   b test ed   o n   ad d itio n al  s am p les.   Hy b r id Gu ar d   p er m is s io n   an d   p o licy   f r am ewo r k T h e r h as  b ee n   r is in   we b - b as ed   m o b ile  ap p licatio n s   th at  h av p r o v e n   to   b s ec u r ity   r is k   f ac to r   f o r   d ata  ac ce s s .   Sin ce   m o s web - b ased   m o b ile   ap p licatio n s   r ely   o n   J av aScr ip it  ca n   b h ar d   t o   d e d u ce   wh er th r e q u ested   d ata  ac ce s s   i s   co m in g   f r o m   a n d   if   ex p o s ed   API s   ar b ein g   tak en   ad v a n tag o f .   Hy b r id Gu a r d   is   f r am ewo r k   th at   u s es  p r in cip le - b ased ,   s tatef u l   p o licies,  to   p r o v id ac ce s s   co n tr o l to   web - b ased   m o b ile  ap p licatio n s   with o u t m o d if y in g   h y b r id   f r a m ewo r k s   o r   m o b ile  ap p licatio n s   [ 19 ] .   W h e n   an   API   in v o ca tio n   is   r ec eiv ed   it will b test ed   b y   th s tatef u l p o licies  with in   p o licy   m an ag e r   ac tin g   as  m o n ito r .   I f   th API   in v o ca ti o n   is   p er m itted ,   th en   ac ce s s   will  b g r an ted   as   elu cid ated   in   Fig u r e   7   [ 42 ] .   T h Hy b r id Gu ar d   f r am ewo r k   ca n   b u s ef u f o r   d ev elo p er s   in   th cr ea tio n   o f   ac ce s s   co n tr o p o licies  an d   m etr ics  to   ass e s s   s ec u r ity   b y   r ec o r d in g   i n s tan ce s   o f   u n a u th o r ized   ac ce s s ,   wh at  d ata  was  tr y in g   to   b ac ce s s ed ,   an d   d ata  ex p o s u r b y   au th o r ized   API   in v o ca t io n s .   Alth o u g h   Hy b r id Gu ar d   h as   b ee n   test ed   o n ly   o n   6   m o b ile  ap p licatio n s   m o r e   test in g   n ee d s   to   b d o n e   with   p r o m is es  o f   Hy b r id Gu a r d   allo win g   u s er s   to   d o w n lo ad   th f r am ewo r k   as a n   ap p   an d   s et  th eir   p o licies.     Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   2 5 0 2 - 4 7 5 2   I n d o n esian   J   E lec  E n g   &   C o m p   Sci Vo l.  25 ,   No .   3 Ma r ch   20 22 :   1 7 3 6 - 1 7 4 8   1742       Fig u r 6 .   OW ASP  to p   10  m o b ile  r is k s   [ 4 1 ]           Fig u r 7 T h ar ch itectu r o f   t h Hy b r id G u ar d   f r am ewo r k   [ 42 ]       4.   RE SU L T S AN D I SCU SS I O N   As  m en tio n ed   b ef o r s ec u r it y   v u ln er a b ilit ies  in   An d r o id   ap p licatio n s   ca n   af f ec th u s er   o f   th ap p licatio n   o r   t h d e v ice  its elf .   As  en g i n ee r s ,   it  is   a   n ec es s ity   to   co n s id er   v a r io u s   m ea s u r es  to   e n s u r t h e   s ec u r ity   o f   y o u r   a p p .   W wil alwa y s   s tar with   th e   m ea s u r es  th at  h av e   wo r k e d   in   th p ast  f o r   m illi o n s   o f   ap p licatio n s ,   b u we  m u s also   co n s id er   n ew  s o lu tio n s   th at  co u ld   p r o v id m o r ad v an ce d   s ec u r ity .   W ch o s to   tak a   d ee p   d iv e   in to   h o w   e n g in ee r s   h a v o n w o u ld   ass u m th at  if   th r ea ca n   b e   d ete cted   l o n g   b e f o r e   it  r ea ch es  th ap p licatio n   th at  it  wo u ld   b h ig h ly   ef f ec tiv e ,   p r e d ictiv an aly s is   an d   m ac h in l ea r n in g   tech n iq u es  ex p lo r t h is   ass u m p tio n   d ee p ly .   T h f ir s r ep o r we  lo o k e d   at  ad d r ess ed   th f o llo win g :   Du r in g   th s tu d y ,   ab o u 2 0 0   o p en - s o u r ce   ap p l i ca tio n s   th at  wer av ailab le  o n   th An d r o id   ap p   s to r wer co n s id er ed .   T h is   ex p er im en t n ec ess itated   th u s o f   an   ap p licatio n ' s   s o u r ce   co d e.   FB R ea d er   was  th ap p licatio n   o f   ch o ice  ( f r e e   e - b o o k   r ea d er ) .   T h e   ap p licatio n   h ad   ab o u 3 9 lin es  o f   co d e   an d   h ad   r e ce iv ed   o v e r   3 7 0 0   u p d ates  in   th e   co d e   s h o p .   C lass es  th at  wer d is co v er ed   in   th v a u lt  an d   h a d   p o s itio n   with   o u ts id lib r ar ies  wer ig n o r ed .   T h e   ap p licatio n   h as  b ee n   d o wn lo a d ed   m o r t h an   m illi o n   o n c an d   h as  r ec eiv ed   p o s itiv f ee d b ac k .   Fo r   m o r e   in f o r m ati o n ,   s ee   Fig u r 1 .   W d o wn lo ad e d   s ev er al  co p ies  o f   th s o u r ce   co d f r o m   th FB R ea d er   s o u r ce   co d e   d atab ases T ab le  2   d escr ib es   t h FB R ea d er   v er s io n s   f o r   s o u r ce   co d e   an aly s is   as  r ep o r ted   in   [ 43 ] .   W f o u n d   v u ln er ab il ities   f o r   ea c h   ed iti o n   b y   u tili zin g   f o r tify ' s   s o u r ce   co d an al y ze r   ( SC A) ,   r o b o tized   s tatic  co d e   r ev iew  p latf o r m   th at  test s   p r o g r am   s o u r ce   co d th e n   p r o d u ce s   r ep o r co n tain in g   all  o f   th v u ln er ab ilit ies   d is co v er ed ,   alo n g   with   ar ea s   an d   p o r tr ay als   [ 4 4 ] .   Fo r   ea ch   iter atio n ,   we  h av ca lcu lated   co m p r eh e n s iv e   co llectio n   o f   o b ject - o r ien te d   c o d m etr ics.   T h J Haw k   5   t o o was  u s ed   [ 45 ] ,   wh ich   g ath er s   ab o u 4 0   s ep ar ate   m ea s u r em en ts   f o r   ea c h   lev el.   Fin ally ,   we  c r ea ted   a   ca teg o r izatio n   m o d el   u s in g   s u p p o r v ec to r   m ac h i n es   ( SVM)   th at  u s es c o d m ea s u r e m en ts   to   p r ed ict  wh e n   J av c lass   is   v u ln er ab le  ( r esu lt).       T ab le  2 .   FB R ea d er   v er s io n s   f o r   s o u r ce   co d an aly s is   [ 4 3 ]   M e t r i c s   D e scri p t i o n   0 . 7 5   O C 2 0 1 0   0 . 9 9 . 0   JA N   2 0 1 1   1 . 0 . 0   A P R   2 0 1 1   1 . 1 . 0   JU N   2 0 1 1   1 . 2 0   O C 2 0 1 1   Evaluation Warning : The document was created with Spire.PDF for Python.
I n d o n esian   J   E lec  E n g   &   C o m p   Sci     I SS N:   2502 - 4 7 5 2         A n   in ve s tig a tio n   s tu d y   fo r   r is ca lcu la tio n   o f secu r ity  vu ln e r a b ilit ies o n   …  ( R a d h w a n   M.  A b d u lla h )   1743   Sin ce   2 0 0 8 ,   th n u m b er   o f   A n d r o id   f laws  h as  r is en .   As  r esu lt,  it  is   r ea s o n ab le  to   ass u m th at  th e   An d r o id   ec o s y s tem ' s   s ec u r ity   s tatu s   is   d eter io r atin g   y ea r   af t er   y ea r .   O n p o te n tial  ex p lan atio n   is   th at,   as  th e   m o b ile  I n ter n et  ev o lv es,  th e   n u m b e r   o f   s o f tw ar a v ailab le  f o r   c o n s u m p tio n   g r o ws,  b u th m ajo r ity   o f   d ev elo p er s   a r in e x p er ien ce d   [ 41 ] .   Sta tic  an al y s is   to o ls   ar u s ed   to   f ig u r o u th e   n u m b er   o f   v u ln e r ab ilit ies  an   ap p licatio n   m ig h h a v f o r   n u m er o u s   r ea s o n s .   T h f ir s r ea s o n   is   th at  th o u s an d s   o f   ap p licatio n s   ar ad d ed   to   th g o o g le  p lay   s to r with   o n l y   s m all  n u m b er   o f   v u ln er a b ilit ies r ep o r t s .   Fu r th er m o r e ,   th v u ln er ab ilit ies th at  ar r ep o r ted   a r e   n o co m p lete  an d   lack   th h is to r ical  d ata  r el ated   to   th e   v u ln e r ab ilit ies  th at  ar n ee d e d   to   b u ild   th p r ed ictin g   m o d el.   T h s e co n d   m o s im p o r tan r ea s o n   is   th at  th s tatic  an aly s is   to o ca n   ca lcu lat th v u ln er ab ilit ies  r ep ea ted ly .   T h s tatic  an aly s i s   to o p r o v id es  th ab ilit y   to   g et  p len ty   o f   v u ln er ab ilit ies  f o r   th o r o u g h   an aly s is .   Ho wev er ,   s o m o f   th s o u r ce   c o d e   an al y s er   ( SC A)   v u ln e r ab ilit ies  ar e   f alse  p o s itiv es  th at  we  f u r th er   d is cu s s   in   th f o llo win g   s ec tio n s .     T h f o r tify   s o u r ce   an aly s er   w as  u s ed   as  s tatic  an aly s is   to o to   s ca n   An d r o id   m o b ile  a p p licatio n s .   T h is   to o r ep o r ts   t h lo ca ti o n   o f   t h v u ln er a b ilit ies  alo n g   with   th e   cr iticality   an d   th e   ca teg o r y   o f   v u ln er ab ilit ies.  th v u ln e r ab ilit ies  ar co m p u ted   u s in g   th f o llo win g f o r   e v er y   jav clas s   if   th v ar iab le  is   eq u al  to   ze r o   its   m ea n   th er wer n o   v u ln er a b ilit ies  r ep o r ted   f o r   th is   jav class .   On   th o th er   s id e,   if   th v alu e   is   eq u al  to   o n e   it  m ea n s   th at  v u ln er ab ilit ies  ar e   r ep o r ted   f o r   th is   jav a   class T ab le  3   r e p r esen ts   th r esu lts   o f   th p r ed icted   v u l n er ab le  c o m p o n en ts   o f   class es.  T h r esu lt s   h av b ee n   ch ar a cter ized   in t o   th f o llo win g   fiv e   s ec tio n s ty p o f   p r ed ictio n   f ea tu r es  u s ed ,   th e   f o u n d atio n   o f   th v u ln er a b ilit y   d ata,   th e   k in d   o f   p r ed ictio n   tech n iq u e,   th e   ap p licatio n s   u s ed   f o r   t h v alid atio n ,   an d   t h av ailab le  p er f o r m an ce   m eter s   [ 19 ] [ 42 ] .   Fo r   th e   tr ain in g   d ata  co llectio n ,   we  u s th 0 . 7 . 6   v a r ian o f   th e   FB R ea d er   an d   th e   SV v ec to r   m a ch in to   co n s tr u c t   th m o d el  f o r   p r ed ictin g   th v u ln er ab le  class es  an d   co m p o n en ts .   T h r ad ical  b ase  f u n ctio n   ( RBF )   is   u tili ze d   to   b u ild   th e   class if ier .   W s et  th p a r am eter s   f o r   t h R B f u n ctio n   s u c h   as  C OST  1 0 0 . 0   an d   th e   v alu e   o f   g am m is   0 . 0 0 1 .   T h e   to tal  n u m b er   o f   th e   co m p o n en ts   o r   ja v class   is   2 1 5   f o r   t h tr ain in g   f r o m   wh ich   5 9   is   lab elled   as v u ln er a b le.   W u s f iv p ar ts   o f   cr o s s - v alid atio n   to   ev alu ate  th p er f o r m an ce   o f   th tr ain in g   d ata.   Fig u r 8   r ep r esen ts   th ac cu r ac y   o f   ea c h   p ar t.  T h p er f o r m an ce   o f   th e   m o d el  is   ev alu ate d   b y   u s in g   th r ee   m etr ics  wh ic h   ar ac cu r ac y ,   p r ec is io n ,   an d   r e ca ll.   -   Acc u r ac y is   th p er ce n tag e   o f   ac cu r ate  o u tc o m es,  s u ch   a s   tr u p o s itiv ( T P ) ,   th wea k est  ( v u ln er a b le)   class   th at  is   co r r ec tly   class if ie d   as  wea k )   an d   tr u n eg ativ ( T N ) ,   th s tr o n g est  ( v u ln e r ab l e)   class   th at  is   co r r ec tly   class if ied   as st r o n g )   ( T N,   th n o n - wea k   class   th at  i s   co r r ec tly   class if ied   as n eg ativ e) .   -   Pre cisi o n r ef er s   to   th p r o b a b ilit y   o f   v u ln e r ab le  co m p o n en b ein g   id en tifie d   as  s u c h .   I is   d eter m in ed   u s in g   th f o r m u la  T P/   ( T P+FP ) .   -   R ec all r ef er s   to   th p r o b ab ilit y   th at  p ar id en tifie d   as  v u ln er ab le  is   n o v u ln er ab le.   I t' s   esti m ated   u s in g   th f o r m u la  T P/   ( T P+  FN) .   Fig u r 9   r ep r esen ts   th d is tr i b u tio n   o f   th v u ln er a b ilit ies  f o r   th e   co m p o n e n ts   o r   class es  o f   v e r s io n   0 . 7 . 6   it  d is p lay s   as  d en s ity   f u n ctio n .   Af ter   2 0   v u ln er a b ilit ies  th f u n ctio n   o f   d en s ity   r ea c h es  th x - ax is .   Fo r   th r em ain in g   4   v er s io n s ,   th v u ln er ab ilit ies  ar d is tr ib u ted   as  th s am with   s l ig h d if f er en ce   o f   co llis io n s .   Mo r eo v er ,   Fig u r 1 0   illu s tr ate s   th v u ln er a b ilit y   ev o lu tio n   o v er   tim th at  h a v b ee n   r e p o r t ed   b y   K r u tz   in   h is   wo r k   in   [ 4 6 ] .   Fro m   t h f ig u r e,   it  is   clea r   th at  th s ev er ity   3   c lass   h as  th s m allest  n u m b er   o f   v u ln e r ab ilit ies  o n   th co n s id er e d   v e r s io n s   wi th   u p   t o   5 0   v u ln er ab ilit ies.  Ho wev er ,   th e   f ig u r also   d e n o t es  th at  th class   o f   s ev er ity   2   h as th h ig h est  n u m b er   o f   v u ln e r ab ilit ies with   alm o s t 3 7 0   v u ln er ab ilit ies.   T h v er s io n   o f   FB    R ea d er   is   a n aly ze d   an d   th e   ev o lu tio n   is   r ep r esen ted   in   Fig u r 11 .   W n o tice  th at  th n u m b e r   o f   3 . 0   c r iticality   v u ln er ab ilit ies  r em ain s   co n s is ten ac r o s s   v er s io n s .   As  co n s eq u en ce ,   ch a n g in g   th n u m b er   o f   v u ln er ab ilit ies  to   2 . 0   v u ln er a b ilit ies  ch an g es  th cr iticality .    On ce   th e   r esu lt s   an d   t h v iew  ar e   p r o v id e d   it  is   p o s s ib le  to   ac h i ev h ig h   ac cu r ac y   an d   p r ec is i o n   to   c o n s tr u ct  th e   p r ed ictio n   an d   class if icatio n   m o d el.   T h b lac k   p lan e   lin in   Fig u r 11   r e p r esen ts   m o d el  a cc u r ac y ,   w h er ea s   th b lack   d o tted   lin r ep r esen ts   th class if ier ' s   ac cu r ac y   o f   an y   jav class   l is ted   a s   n o v u ln er ab le.    Ma n y   o th er   class es  ar also   p r ed icate d   as   non - v u ln er a b le.   T h d o tted   li n th at  s h o ws  ac cu r ac y   is   tak en   as  b aselin to   r elate   th e   p er f o r m an ce   o f   t h p r ed ictio n   m o d el.     T h m o d el  we  c r ea ted   is   s o m ewh er in   th r an g o f   6 . 0 an d   8 . 4 m o r p r ec is th an   t h g au g e.   No te,   th e   s ep ar atio n   b etwe en   th two   lin es   r ec o ils   f o r   s o m e   tim e.   Ou r   m et h o d   h as  a   h ig h   lev el  o f   p r ec is io n ,   with   s u cc ess   r ate  o f   m o r e   t h an   8 0 %.  T h ac c u r ac y   o f   th p r e d ictio n   m o d el   f o r   ea ch   o f   th e   f o u r   v ar ia n ts   test ed   is   also   s ee n   in   Fig u r 8 .   Pre cisi o n   v ar ies  b etwe en   7 5 . 9 an d   8 1 . 5 % .   T h is   m ea n s   th at   wh en   J av a   class   is   f lag g ed   as  v u ln er ab le   b y   th m o d el ,   it  is   ex tr em ely   ac c u r ate.   Ho wev er ,   as  s ee n   in   th f ig u r e,   th r ec all  esti m ate  i s   p o o r .   R ec all  r ates   r an g f r o m   3 7 . 9 to   4 2 . 3 % .   A s   co n s eq u en ce ,   th m o d el  is   u n r eliab le  wh en   it  p r ed icts   th at  a   J av class   also   is n ' v u ln er ab le.   I n   co n clu s io n ,   th e   m o d el   ca n   th en   b u s ed   to   c o o r d in ate  th e   au d it  o f   J av class es  o r   m o d u les  th at  p o s h ig h   r is k   o f   v u ln er a b ilit ies.  I n   an y   ca s e,   th o v er all  lis o f   ex tr em ely   v u ln er ab le  class es c o u ld   b e   g r ea ter   t h an   ex p ec ted   o r   p r o jecte d .       Evaluation Warning : The document was created with Spire.PDF for Python.
                      I SS N :   2 5 0 2 - 4 7 5 2   I n d o n esian   J   E lec  E n g   &   C o m p   Sci Vo l.  25 ,   No .   3 Ma r ch   20 22 :   1 7 3 6 - 1 7 4 8   1744   T ab le  3 .   Vu ln e r ab ilit ies  p r ed i c tio n   m o d els  p r o p o s ed   b y   Stev en s o n   [ 47 ]   Ti t l e   o f   S t u d i e s   P r e d i c t o r u se d   V u l n e r a b i l i t y   s o u r c e s   P r e d i c i t o n   t e c h n i q u e   A p p l i c a t i o n s   P e r f o r mac e   Ev a l u t i n g   c o m p l e x t i y ,   c o d e   c h u r n ,   a n d   d e v e l o p e r   a c t i v i t y   met r i c a i n d i c a t o r o f   so f t w a r e   S o f t w a r e   met r i c s,  c o d e   c h u r n ,   d e v e l o p e r   a c t i v i t y   met r i c s   M F S A ,   R e d   H a t   B u g z i l l a ,   R e d   H a t   p a c a k g e   m a n a g e me n t   sy st e m (RP M )   Lo g i s t i c   r e g r e ss i o n   F i r e f o x ,   R e d   H a t   L i n u x   k e r n e l   F i r e f o x --- 3 %   r e c a l l :   7 9 - 8 6 ,   f a l l - o u t :   2 2 2 5 %;   R e d   H a t   L i n u x   K e r n e l     p r e c i si o n :   5 %,   r e c a l l   8 0 - 9 0 %,   f a l l - o u t   2 2 - 25   P r e d i c t i n g   v u l n e r a b l e   so f t w a r e   c o m p o n e n t s   I mp o r t s,  f u n c t i o n   c a l l s   M F S A   S V M   M o z i l l a   P r e c i s i o n :   7 0 % ,   r e c a l l :   4 5 %   C a n   t r a d i t i o n a l   f a u l t   p r e d i c i t o n   m o d e l s   b e   u se d   f o r   v u l n e r a b i l i t y   p r e d i c i t o n     S o f t w a r e   met r i c s,  c o d e   c h u r n ,   d e v e l o p e r   a c t i v i t y   met r i c   M F S A   Lo g i s t i c   r e g r e ss i o n   F i r e f o x   P r e c i s i o n :   1 2 % ,   r e c a l l :   8 3 %   I s c o mp l e x i t y   r e a l l y   t h e   e n e my   o f   t h e   s o f t w a r e   sec u r i t y /   A n   e m p e r i c a l   mo d e l   t o   p r e d i c t   s e c u r i t y   v u l n e r a b i l i t i e u si n g   c o d e   c o mp l e x i t y   me t r i c   C o d e   c o m p l e x i t y   met r i c   M F S A / C V E/ B u g z i l l a   Lo g i s t i c   r e g r e ss i o n   F i r e f o x   JS e n g i n e   R e c a l l :   3 - 9 3 %,   a c c u r a c y   43 - 9 8 f a l l - o u t :   0     58%     U si n g   c o m p l e x i t y   c o u p l i n g ,   a n d   c o h e si o n   met r i c a s e a r l y   i n d i c a t o r s f o r   v u l n e r a b i l i t i e   c o m p l e x i t y   c o u p l i n g ,   a n d   c o h e s i o n   met r i c s   M F S A / B u g z i l l a   N a ï v e   b a y e s ,   C 4 . 5   D e c i si o n   Tr e e ,   R a n d o F o r e st ,   L o g i s t i c   r e g r e ss i o n   F i r e f o x   C 4 . 5   d e c s i o n   t r e e -   mea n   p r e c i si o n :   7 2 % ,   me a n   r e c a l l :   7 4 %,   m e a n   a c c u r a c y :   7 3 %,   mea n   f a l l - o u t :   2 9 %     S e a r c h i n g   f o r   a   n e e d l e   i n   a   h a y st a c k :   P r e d i c t i n g   sec u r i t y   v u l n e r a b i l i t i e f o r   w i n d o w v i s t a   c o d e   c h u r n ,   c o d e   c o m p l e x i t y ,   d e p e n d e n c y   mea s u r e s,   c o d e   c o v e r a g e ,   o r g a n i z a t i o n a l   met r i c s,  a c t u a l   d e p e n d e n c i e     NVD   Lo g i s t i c r e g r e ss i o n / S V M   W i n d o w v i s t a   M e d i a n   p r e c i s i o n   6 0 - 6 7 %;   med i a n   r e c a l l   2 0 - 4 0 %   To w a r d   n o n - se c u r i t y   f a i l u r e a a   p r e d i c t o r   o f   sec u r i t y   f a u l t a n d   f a i l u r e   N o n - se c u r i t y   f a i l u r e   r e p o r t s   C i sc o   sec u r i t y   r e p o r t   C A R T   C i sc o   so f t w a r e   sy st e m   R e c a l l :   5 7 % ;   f a l l - o u t :   4 8 %   P r e d i c t i n g   v u l n e r a b l e   so f t w a r e   c o m p o n e n t w i t h   d e p e n d e n c y   g r a p h   C o m p o n e n t   d e p e n d e n c y   g r a p h s   M F S A / C V E/ B u g z i l l a   B a y e s i a n   n e t w o r k ,   N a ï v e   b a y e s ,   n e u r a l   n e t w o r k s,  r a n d o m   f o r e s t ,   S V M   F i r e f o x   JS   En g i n e   P r e c i s i o n :   6 1 - 6 8 %,   r e c a l l :   60 - 6 1 %,   a c c u r a c y :   8 4 - 8 5 %,   f a l l - o u t :   9 - 1 0 %   U si n g   S Q h o t s p o t i n   a   p r i o r i t i z a t i o n   h e u r i s t i c   f o r   d e t e c t i n g   a l l   t y p e o f   w e b   a p p l i c a t i o n   v u l n e r a b i l i t i e   S Q h o t s p o t s   Tr a c   i ssu e   r e p o r t   Lo g i s t i c   r e g e ss i o n   W o r d p r e ss ,   W i k k a w i k i   W o r d p r e ss     a v e r a g e   p r e c i si o n :   2 8 % ,   a v e r a g e   r e c a l l :   2 4 %,   W i k k a w i k i     a v e r a g e   p r e c i si o n :   6 2 % ,   a v e r a g e   r e c a l l :   3 9 %           Fig u r 8.   Acc u r ac y   p er ce n tag e   [ 4 8 ]     Evaluation Warning : The document was created with Spire.PDF for Python.
I n d o n esian   J   E lec  E n g   &   C o m p   Sci     I SS N:   2502 - 4 7 5 2         A n   in ve s tig a tio n   s tu d y   fo r   r is ca lcu la tio n   o f secu r ity  vu ln e r a b ilit ies o n   …  ( R a d h w a n   M.  A b d u lla h )   1745       Fig u r 9 .   Scatter in g   o f   v u ln er a b ilit ies   [ 49 ]           Fig u r 10 .   Pro g r ess   o f   v u ln e r a b ilit ies   [ 4 6 ]           Fig u r 11 .   R esu lts   o f   class if ic atio n   m o d el   [ 50 ]       5.   CO NCLU SI O   T h s u cc ess   o f   An d r o id   t ec h n o lo g y   an d   ap p licatio n s   h as  m ad th em   m o r tem p tin g   to   cy b er c r im in als.  T h m alwa r d etec tio n   p r o g r a m   co u ld   b in tr o d u ce d   a n d   d eliv e r ed   in   th f o r m   o f   s m ar tp h o n a p p licatio n   th at  co m m u n icate s   th s ca n n in g   r esu lts   to   th cu s to m er   in   an   ea s y - to - u n d er s tan d   m an n er .   Pro tectin g   a n d   m a k in g   u s er s   awa r o f   th m alicio u s   ap p licatio n s   b e f o r i n s tallin g   is   th f ir s s tep   Evaluation Warning : The document was created with Spire.PDF for Python.