面向混合應用的Web到Native調用機制的安全性研究.pdf

1、目前，越來越多的混合應用出現(xiàn)在了各大Android應用市場中，根據(jù)IDC的數(shù)據(jù)統(tǒng)計顯示，截至2016年第三季度，Android占據(jù)了智能手機操作系統(tǒng)份額的86.8％。這些應用包含了Android原生的Java代碼以及Web頁面。為了提高用戶的使用體驗，混合應用一般都會向Web頁面暴露一些本地Java方法供Web頁面中的JavaScript代碼調用，訪問一些設備資源。
　　JavaScript代碼調用本地Java方法時，應用程序首先

2、會與遠程服務器建立鏈接，隨后在建立起的鏈接中調用本地的Java方法。然而，仔細分析發(fā)現(xiàn)，整個調用過程存在比較明顯的攻擊面。第一，在建立鏈接過程中，為了保護數(shù)據(jù)的傳輸，Android混合應用通常使用SSL或TLS與遠端服務器建立HTTPS鏈接。但是由于開發(fā)者的安全意識不夠強或者開發(fā)時的疏忽，一些HTTPS鏈接并沒有想象的那么安全，特別是當HTTPS鏈接中的SSL證書出現(xiàn)錯誤時，對這些錯誤的不恰當處理也容易引起中間人攻擊和釣魚攻擊。第二，假

3、如JavaScript調用的本地Java方法可以執(zhí)行敏感的操作，如發(fā)送短信、訪問聯(lián)系人信息、獲取地理位置信息等，如果這種調用發(fā)生在HTTP這種不安全的鏈接中時，容易引發(fā)中間人攻擊，惡意代碼被注入后可以在用戶不知情的情況執(zhí)行敏感的操作，造成用戶隱私數(shù)據(jù)泄露甚至對設備造成一定的危害。
　　為了檢測Web到Native調用機制的安全性，論文設計并實現(xiàn)了一個檢測模型，該檢測模型包括靜態(tài)分析部分和動態(tài)分析部分，能夠(1)判斷應用程序與遠程服

4、務器建立的HTTPS鏈接是否安全;(2)并可以在HTTP鏈接中檢測是否存在JavaScript調用本地敏感的Java方法。
　　為了測試此檢測模型的對Web到Native調用機制安全性的檢測能力，檢測模型檢測了從國內第三方市場中下載的13820個應用程序，靜態(tài)分析發(fā)現(xiàn)1360個應用可能存在SSL證書錯誤處理不當，隨后動態(tài)分析確定了711個存在SSL錯誤處理安全問題的應用程序。為了更加詳細的分析JavaScript在HTTP鏈接中調