Android移動應(yīng)用程序中SSL實現(xiàn)的安全性分析.pdf

1、在過去的幾年中，智能手機銷量呈現(xiàn)爆發(fā)式增長，用戶也因此獲得“永遠(yuǎn)在線、永遠(yuǎn)連接”的良好體驗。通過智能手機傳輸?shù)膫€人敏感信息的數(shù)量也不斷增加。因此，確保流量交換的安全性已經(jīng)變得至關(guān)重要，尤其是在免費Wifi陷阱和偽信號塔無處不在的今天。安全套接字協(xié)議可以保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性，然而在Android移動應(yīng)用開發(fā)中SSL協(xié)議在實現(xiàn)過程中往往存在問題，對用戶構(gòu)成嚴(yán)重的安全威脅，包括賬號財務(wù)信息遭竊取和社會關(guān)系信息被泄漏等。
　　本文

2、從Android移動應(yīng)用程序出發(fā)，對存在中間人漏洞的應(yīng)用進行了研究，然后在此基礎(chǔ)上提出了一種SSL實現(xiàn)缺陷檢測方案，以達到防止用戶受到SSL中間人攻擊的目的。文章首先就SSL協(xié)議以及SSL中間人攻擊原理進行了闡述，對安卓系統(tǒng)的架構(gòu)以及安全機制進行研究，對Android軟件關(guān)鍵技術(shù)進行分析，并討論了目前現(xiàn)有的用于檢測網(wǎng)絡(luò)攔截的技術(shù)。其次，針對SSL協(xié)議通信特點，引入機器學(xué)習(xí)技術(shù)，從應(yīng)用程序SSL握手?jǐn)?shù)據(jù)包中提取證書鏈的大小、證書鏈的深度、

3、公共密鑰大小、證書的主題名稱和發(fā)行人名稱等信息作為特征，通過決策樹算法判斷該應(yīng)用程序存在SSL安全性實現(xiàn)缺陷的可能性。通過靜態(tài)掃描方法，提出了基于安全缺陷分類的分析方法，并在此基礎(chǔ)上對各個缺陷可能造成的危害進行了分析。
　　為了評估Android應(yīng)用程序中SSL實現(xiàn)安全性，本文對國內(nèi)1000個常用的免費Android應(yīng)用樣本及150個銀行、金融類樣本進行分析，歸納總結(jié)這些應(yīng)用軟件存在的四類安全缺陷：信任所有證書、信任所有域名、SS