Г.Ю. Пагуба, А.А. Волков, Н.Н. Самарин

Постановка проблемы. Наличие уязвимостей в компонентах с открытым исходным кодом может поставить под угрозу конфиденциальность, целостность и доступность информации, обрабатываемой продуктами, в которых применяются данные компоненты. Наиболее перспективным подходом для решения существующей проблемы является композиционный анализ программного обеспечения.

Цель. Представить метод поиска потенциально уязвимых нативных компонентов с открытым исходным кодом в приложениях для радиотелефонов на базе ОС Android с применением алгоритма выравнивания по волновому фронту.

Результаты. Предложен метод поиска потенциально уязвимых нативных компонентов с открытым исходным кодом в приложениях для радиотелефонов на базе ОС Android на основе алгоритма выравнивания по волновому фронту, разработан прототип его программной реализации на языке программирования Python и выполнена его экспериментальная оценка. Показано, что предложенный метод позволяет обнаруживать потенциально уязвимые компоненты с открытым исходным кодом без создания, хранения и обновления базы признаков данных компонентов.

Практическая значимость. Разработанный метод дает возможность снизить трудоемкость анализа программного обеспечения для ОС Android на наличие n-day уязвимостей и уменьшить временно́е окно между исправлением уязвимости авторами компонента и внедрением исправлений в программное обеспечение, использующее уязвимый компонент.

Пагуба Г.Ю., Волков А.А., Самарин Н.Н. Применение алгоритма выравнивания по волновому фронту для поиска потенциально-уязвимых компонентов с открытым исходным кодом в приложениях для радиотелефонов на базе ОС Android // Радиотехника. 2026. Т. 90. № 2. С. 66−72. DOI: https://doi.org/10.18127/j00338486-202602-09

1. Intel. The Careful Consumption of Open Source Software [Электронный ресурс]. URL: https://www.intel.com/con-tent/www/us/en/developer/articles/guide/the-careful-consumption-of-open-source-software.html/ (дата обращения: 14.07.2025).
2. Галкин В.А., Биушкин И.С., Журавлева У.В. Анализ программного кода с использованием ансамблевых методов машинного обучения // Динамика сложных систем - XXI век. 2020. Т. 14. №. 2. С. 34-41.
3. Github. storaged-project/libblockdev [Электронный ресурс]. URL: https://github.com/storaged-project/libblockdev (дата обра-щения: 16.07.2025).
4. NVD – CVE-2025-6019 [Электронный ресурс]. URL: https://nvd.nist.gov/vuln/detail/cve-2025-6019 (дата обращения: 17.07.2025).
5. setuid(2) – Linux manual page [Электронный ресурс]. URL: https://man7.org/linux/man-pages/man2/setuid.2.html (дата обра-щения: 19.07.2025).
6. NVD – CVE-2025-27363 [Электронный ресурс]. URL: https://nvd.nist.gov/vuln/detail/CVE-2025-27363 (дата обращения: 19.07.2025).
7. The FreeType Project [Электронный ресурс]. URL: https://freetype.org/ (дата обращения: 20.07.2025).
8. Field Effect. Severe flaw found in the FreeType library used by millions of systems [Электронный ресурс]. URL: https://fieldeffect.com/blog/severe-vulnerability-freetype-library-used-by-millions (дата обращения: 20.07.2025).
9. Шелухин О.И., Рыбаков С.Ю., Звежинский С.С. Обнаружение кибератак и вредоносного программного обеспечения нулевого дня методами машинного обучения // Радиотехника. 2025. Т. 89. № 8. С. 184–198. DOI: https://doi.org/10.18127/j00338486-202508-21.
10. Selectel. Уязвимости средств защиты и систем в информационной безопасности [Электронный ресурс]. URL: https://selec-tel.ru/blog/vulnerabilities/ (дата обращения: 22.07.2025).
11. NVD – CVE-2022-3723 [Электронный ресурс]. URL: https://nvd.nist.gov/vuln/detail/cve-2022-3723 (дата обращения: 23.07.2025).
12. Google Threat Analysis Group. Spyware vendors use 0-days and n-days against popular platforms [Электронный ресурс]. URL: https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/ (дата обращения: 25.07.2025).
13. The Chromium Projects [Электронный ресурс]. URL: https://www.chromium.org/Home/ (дата обращения: 26.07.2025).
14. Samsung Internet Browser [Электронный ресурс]. URL: https://www.samsung.com/ru/apps/samsung-internet/ (дата обращения: 26.07.2025).
15. Барабанов А.В., Марков А.С., Цирлов В.Л. Актуальные вопросы выявления уязвимостей и недекларированных возмож-ностей в программном обеспечении // Системы высокой доступности. 2018. Т. 14. №. 3. С. 12-17.
16. What is Software Composition Analysis (SCA) [Электронный ресурс]. URL: https://www.paloaltonetworks.ca/cyberpedia/what-is-sca (дата обращения: 27.07.2025).
17. Marco-Sola Santiago, Moure Juan, Moreto Miquel, Espinosa Antonio. Fast gap-affine pairwise alignment using the wavefront algorithm. Bioinformatics (Oxford, England). 2020. 37. 10.1093/bioinformatics/btaa777.
18. Левенштейн В.И. Двоичные коды с исправлением выпадений, вставок и замещений символов // Доклады Академий Наук СССР. 1965. Т. 163.4. C. 845-848.
19. Github. NationalSecurityAgency/ghidra [Электронный ресурс]. URL: https://github.com/NationalSecurityAgency/ghidra – (дата обращения: 08.08.2025).
20. Github. Smarco/WFA2-lib [Электронный ресурс]. URL: https://github.com/smarco/WFA2-lib (дата обращения: 08.08.2025).
21. Python documentation. ctypes – A foreign function library for Python [Электронный ресурс]. URL: https://docs.python.org/3/lib-rary/ctypes.html (дата обращения: 10.08.2025).
22. NVD – Vulnerabilities [Электронный ресурс]. URL: https://nvd.nist.gov/vuln (дата обращения: 11.08.2025).
23. The GitLab Advisory Database [Электронный ресурс]. URL: https://gitlab.com/gitlab-org/security-products/gemnasium-db (дата обращения: 12.08.2025).
24. OSV – Open Source Vulnerabilities [Электронный ресурс]. URL: https://osv-vulnerabilities.storage.googleapis.com/ (дата обращения: 15.08.2025).
25. Kevin Allix, Tegawendé F. Bissyandé, Jacques Klein, and Yves Le Traon. 2016. AndroZoo: collecting millions of Android apps for the research community. In Proceedings of the 13th International Conference on Mining Software Repositories (MSR '16). Association for Computing Machinery. New York. NY. USA. Р. 468–471. https://doi.org/10.1145/2901739.2903508.