Android系統(tǒng)的第三方登錄漏洞分析和應(yīng)對(duì)途徑

李楠 武漢紡織大學(xué)

Android系統(tǒng)的第三方登錄漏洞解決應(yīng)在增加可利用第三方信用值的同時(shí)，將第三方參與到控制認(rèn)證流程中，即利用Android操作系統(tǒng)自身的安全性能作為一個(gè)可利用的第三方，然后當(dāng)惡意應(yīng)用調(diào)用系統(tǒng)函數(shù)的時(shí)候就會(huì)在Android 系統(tǒng)上保留一定的身份信息，然后Android 系統(tǒng)可以通過(guò)惡意應(yīng)用留下的身份信息的API接口進(jìn)行管理，促使對(duì)第三方應(yīng)用的身份認(rèn)證能力逐漸增強(qiáng)。

1 Android系統(tǒng)第三方登錄漏洞分析

Android系統(tǒng)登錄方式主要有Code、Web、SSO三種，現(xiàn)階段Android系統(tǒng)中常用的登錄方式為SSO及Web兩種，因此本文主要針對(duì)這兩種登錄過(guò)程中的漏洞及應(yīng)對(duì)措施進(jìn)行分析。

1.1 Web登錄漏洞

Web第三方APP登錄主要依靠相關(guān)平臺(tái)的用戶信息及信息傳播能力，用戶在進(jìn)行第三方APP登錄過(guò)程中，除了相關(guān)平臺(tái)需要對(duì)第三方APP提交的身份信息進(jìn)行審核，并沒(méi)有對(duì)第三方APP的信用證書(shū)進(jìn)行有效的判定，同時(shí)，用戶在認(rèn)證過(guò)程中一些過(guò)于敏感的身份信息就遺留在第三方APP程序中，惡意攻擊者可通過(guò)反編譯、逆向工程等方式獲得用戶的隱私信息，[1]從而造成了非法授權(quán)、身份假冒等安全威脅。

1.2 SSO登錄漏洞

SSO第三方APP登錄主要利用互聯(lián)網(wǎng)開(kāi)發(fā)平臺(tái)的豐富的用戶賬號(hào)群進(jìn)行，同時(shí)為了進(jìn)一步促進(jìn)其第三方APP的開(kāi)發(fā)，在第三方APP中連入了用戶賬號(hào)中的訪問(wèn)接口、權(quán)限。而在第三方APP登錄過(guò)程中由于SSO平臺(tái)僅僅有主應(yīng)用對(duì)用戶所提供的身份信息進(jìn)行確認(rèn)，并沒(méi)有針對(duì)第三方APP進(jìn)行重復(fù)的信息驗(yàn)證，這就導(dǎo)致用戶的身份信息會(huì)直接保留在第三方APP的瀏覽記錄中，從而相當(dāng)于用戶的信息在APP中公開(kāi)展示，造成了惡意攻擊及假冒欺騙的風(fēng)險(xiǎn)。

2 Android系統(tǒng)漏洞應(yīng)對(duì)措施

針對(duì)SSO、Web等第三方APP登錄過(guò)程中出的安全漏洞，可從兩個(gè)方面采用以下措施進(jìn)行解決：

2.1 Web第三方APP登錄應(yīng)對(duì)措施

Web登錄方式主要是第三方APP登錄過(guò)程中通過(guò)身份信息假冒所獲取非法的授權(quán)，因此可以使Andorid系統(tǒng)參與到第三方APP的認(rèn)證過(guò)程中，主要是利用Andorid系統(tǒng)的WebView控制軟件增加對(duì)第三方APP的認(rèn)證管理。即利用此軟件創(chuàng)建一個(gè)可信任的第三方應(yīng)用，然后調(diào)動(dòng)WebView中的postUrl函數(shù)向系統(tǒng)發(fā)送應(yīng)用登錄參數(shù)GET請(qǐng)求，如Hash、ID、包名、簽名等，然后主應(yīng)用可通過(guò)WebView中第三方APP的各項(xiàng)身份信息與登錄驗(yàn)證時(shí)提交的身份信息進(jìn)行對(duì)比，然后將第三方APP的包名、簽名等身份信息加入到主應(yīng)用的管理對(duì)象中，如將第三方APP簽名加入到主應(yīng)用的“package-sig”管理中，最后檢查用戶是否登錄，若用戶未登錄則可在獲取第三方APP權(quán)限的前提下彈出請(qǐng)求用戶登錄的登錄框。

2.2 SSO第三方APP登錄應(yīng)對(duì)措施

為了解決SSO第三方APP登錄過(guò)程中出現(xiàn)的惡意攻擊及假冒身份的安全漏洞，可以通過(guò)對(duì)主應(yīng)用進(jìn)行完善，即當(dāng)主應(yīng)用處理第三方APP登錄問(wèn)題時(shí)，可以借助Android系統(tǒng)的權(quán)限，然后由Android 系統(tǒng)提供API接口，從而詳細(xì)收集第三方APP的包名、簽名等文件，同時(shí)將這些信息與第三方APP認(rèn)證時(shí)傳入主應(yīng)用的數(shù)據(jù)進(jìn)行核對(duì)其身份信息的正確性，然后從根本上解決第三方惡意應(yīng)用利用假冒包名或簽名獲取認(rèn)證權(quán)限，從而對(duì)用戶使用過(guò)程中造成的安全威脅。具體步驟主要是進(jìn)一步細(xì)化第三方SSO登錄方式，即第三方應(yīng)用發(fā)送登錄請(qǐng)求時(shí)，然后利用Android系統(tǒng)保留第三方身份信息，同時(shí)主應(yīng)用將Android系統(tǒng)提供的getPackagName、getCallingActivity等函數(shù)中獲取第三方應(yīng)用的包名進(jìn)行查詢，同理主應(yīng)用可獲第三方應(yīng)用的簽名，然后經(jīng)對(duì)比核對(duì)無(wú)誤后才能允許用戶登錄。

總而言之，在Android系統(tǒng)第三方APP登錄過(guò)程中，SSO和Web是較為常見(jiàn)的登錄方式，而這兩種登錄方式都存在著一定的安全隱患，如惡意應(yīng)用可通過(guò)假冒身份信息非法獲取用戶的隱私信息等，因此針對(duì)Android系統(tǒng)第三方APP登錄方式的漏洞，可在借用Android系統(tǒng)這個(gè)可信用的第三方的基礎(chǔ)上，針對(duì)SSO及Web兩種登錄方式出現(xiàn)的漏洞進(jìn)行逐一分析，從而加強(qiáng)主應(yīng)用對(duì)第三方APP登錄的身份認(rèn)證管理，促使用戶使用Android系統(tǒng)過(guò)程中的安全得到進(jìn)一步加強(qiáng)。

[1]董超,楊超,馬建峰等.Android系統(tǒng)中第三方登錄漏洞與解決方案[J].計(jì)算機(jī)學(xué)報(bào),2016,39(3):582-594