Security evaluation of ten Swedish mobile applications

Ekenblad, Jens, Andres Garrido Valenzuela, Stefan

January 2022

The widespread usage of smartphones and mobile applications in Sweden exposes the users to potential risks if not adequate security standards are implemented. An insecure application that is exploited by an adversary could potentially compromise the users private data and integrity. As such, this report aims to examine and evaluate the security of ten commonly used mobile applications in Sweden. Using the OWASP Mobile Security Testing Guide (MSTG) and conducting penetration testing, the applications were assessed in regards of strengths and weaknesses. The results presents nine potential vulnerabilities of which three were successfully exploited with the use of brute-force and session hijack attacks. Even though all examined applications adopt industry security standards of various degrees, our findings shows that a few applications are susceptible to vulnerabilities. / Det breda användadet av smarta telefoner och mobila applikationer i Sverige utsätter användare för potentiella risker om inte tillräckliga nivåer av säkerhetsstandarder implementeras. En osäker applikation som utnyttjas av en person med onda avsikter skulle kunna leda till dataintrång hos en användare. Därav siktar denna rapport på att utvärdera säkerheten hos tio vanligt förekommande mobila applikationer i Sverige. Med hjälp av OWASP Mobile Security Testing Guide (MSTG) och utförandet av penetrationstester så har applikationernas styrkor och svagheter utvärderats. Resultatet som presenteras visar på nio potentiella sårbarheter varav tre kunde verifieras genom lyckade brute-force och session hijack attacker. Även om de utvärderade applikationerna implementerar en viss nivå av säkerhetsstandarder, så visar vårt resultat att vissa av applikationerna är utsatta för sårbarheter.

Black-box testing

Penetration testing

Mobile applications

Android

Exploit

Vulnerability Evaluation

OWASP

MSTG

Black-box testning

Penetrations testning

Mobila applikationer

Android

Exploatering

Sårbarhetsutvärdering

OWASP

MSTG

Computer and Information Sciences

Data- och informationsvetenskap

Model Coverage vs System-under-test Coverage in Model-based testing : Using Edge-pair coverage, Edge coverage, Node coverage and Mutation analysis / Modelltäckning vs täckning av system-under-test inom modellbaserad testning : Med användning av kantparstäckning, kant-täckning, nodtäckning och mutationsanalys

Rezkalla, George

January 2021

Model-based testing (MBT) is a black-box software testing technique that focuses on specification of the system-under-test (SUT) and/or its environment. It uses models to automatically generate a large number of tests. To the best of our knowledge, no study has investigated the correlation of model coverage with SUT coverage using more advanced coverage criteria (such as edge-pair coverage) and the correlation of coverage (at model level and SUT level) with test suite effectiveness using non-adequate test suites in the context of MBT despite the prominence of non-adequate test suites in industry. To carry out the investigation, we extend an existing open-source MBT tool called Modbat to measure edge-pair coverage at model level, implement a new tool called PaCovForJbc to measure edge-pair coverage, edge coverage and node coverage at SUT level. Finally, we perform an experiment using these tools applied on three projects: “ArrayList”, and “LinkedList” of Java standard library, and “Apache ZooKeeper”. Overall, the results suggest the following: Edge and edge-pair coverage at model level often have a moderate to high correlation with the same type of coverage at SUT level, while that link between model and SUT for node coverage is weaker. Moreover, coverage criteria at SUT level often have a moderate to high correlation with test suite effectiveness, and a coverage criterion at SUT level has a slightly higher correlation with test suite effectiveness than the same type of coverage at model level. Regarding coverage at model level, edge and edge-pair coverage at model level have a slightly higher correlation with test suite effectiveness than node coverage at model level. Note that the mentioned suggestions need to be taken with discretion, because results vary depending on the project and/or coverage criterion under investigation. / Modellbaserad testning (MBT) är en black-box-testteknik som fokuserar på specifikation av system-under-test (SUT) och/eller dess miljö. MBT använder modeller för att generera ett stort antal tester automatiskt. Såvitt vi vet, finns ingen studie som undersökt korrelationen mellan modelltäckning och täckning av SUT med hjälp av mer avancerade täckningskriterier såsom kantparstäckning. Dessutom finns ingen studie som undersökt korrelationen mellan täckning (på modellnivå och SUT-nivå) och effektivitet av icke- adekvata testsviter som genereras med hjälp av MBT trots betydelsen av icke-adekvata testsviter i industrin. För att utföra undersökningen, utökar vi ett ”open-source” MBT-verktyg som kallas för Modbat för att mäta kantparstäckning på modellnivå. Dessutom implementerar vi ett nytt verktyg som kallas för PaCovForJbc för att mäta kantpars-, kant- och nodtäckning på SUT-nivå. Till slut utför vi experiment genom att applicera Modbat och PaCovForJbc på tre projekt: ”ArrayList” och ”LinkedList” av Javas standardbibliotek samt ”Apache ZooKeeper”. Sammantaget indikerar resultaten följande: Kant- och kantparstäckning på modellnivå har ofta en måttlig till hög korrelation med samma typ av täckning på SUT- nivå, medan länken mellan modell och SUT för nodtäckning är svagare. Dessutom har täckningskriterier på SUT-nivå ofta en måttlig till hög korrelation med testsvitseffektivitet, och ett täckningskriterium på SUT-nivå har en aning högre korrelation med testsvitseffektivitet än samma typ av täckning på modellnivå. Angående täckning på modellnivå har kant- och kantparstäckning på modellnivå en aning högre korrelation med testsvitseffektivitet än nodtäckning på modellnivå. Observera att de nämnda förslagen måste tas med diskretion, eftersom resultaten varierar beroende på projektet och/eller täckningskriteriet som undersöks.

Computer Sciences

Datavetenskap (datalogi)