El equipo de Seguridad en TIC de la Fundación Sadosky desarrolló un sistema que permite analizar, de manera automática y escalable, la seguridad de aplicaciones para dispositivos Android.
Marvin es un sistema de software de código abierto que podrá ser utilizado por especialistas en seguridad informática y ya puede descargarse gratuitamente desde el repositorio de código del Programa STIC.
El sistema combina técnicas de análisis estático y dinámico para encontrar casi 50 tipos distintos de vulnerabilidades. Además intenta determinar, utilizando técnicas de machine learning basadas en el método bayesiano, si una aplicación es en realidad malware.
El sistema incluye cuatro componentes: una aplicación web, un analizador estático, un analizador dinámico y una herramienta que explora las distintas pantallas de la aplicación de forma automática.
La aplicación web es el punto de ingreso e interacción con el sistema, permite agregar aplicaciones Android a analizar, buscarlas y descargarlas automáticamente del mercado Google Play, buscar y consultar los resultados de aplicaciones ya procesadas, e inspeccionar manualmente las vulnerabilidades detectadas.
Con el componente de análisis estático se pueden identificar vulnerabilidades a partir del código (binario) sin necesidad de ejecutar la aplicación. El analizador dinámico, por su parte, permite encontrar vulnerabilidades ejecutando la aplicación en un ambiente controlado, usando emuladores y una infraestructura virtual propia. El cuarto módulo es una herramienta que interactúa con la aplicación investigada de manera automática, simulando las acciones de un usuario real con las distintas pantallas de la aplicación con el objetivo de asistir y guiar al analizador dinámico en la búsqueda de vulnerabilidades.
Marvin ayudó a los investigadores del Programa de Seguridad en TIC a identificar vulnerabilidades en distintas aplicaciones, reportadas a sus fabricantes desde 2014 a la fecha.