Android应用第三方推送服务安全分析与安全增强

作     者：路晔绵 李轶夫 应凌云 谷雅聪 苏璞睿 冯登国 Lu Yemian;Li Yifu;Ying Lingyun;Gu Yacong;Su Purui;Feng Dengguo

作者机构：中国科学院软件研究所可信计算与信息保障实验室北京100190 国家计算机网络应急技术处理协调中心北京100029 中国科学院大学计算机与控制学院北京101408 

基　　金：国家"九七三"重点基础研究发展计划基金项目(2012CB315804) 国家自然科学基金项目(61502468) 北京市自然科学基金项目(4154089)~~ 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2016年第53卷第11期

页      码：2431-2445页

摘      要：推送服务已成为移动智能终端应用的一个基础服务,各大手机平台及互联网公司相继推出了各自的推送服务供应用程序开发者使用.为了降低资源消耗,部分第三方Android推送服务采用共享通道的设计方式,在设备上使用某个应用的推送后台组件作为其他应用推送数据的分发中心.由于缺乏针对数据机密性、完整性、不可伪造性等安全需求的设计与实现,数据分发环节面临多种攻击的威胁.分析了使用共享通道的第三方Android推送服务在数据分发环节存在的安全问题,通过在攻击程序中Hook相关API调用的方法,实现了针对其他应用推送数据的窃听、篡改、伪造和重放攻击,实验结果表明:大部分共享通道的第三方Android推送服务无法抵抗这些攻击,可能造成用户隐私数据泄露和钓鱼攻击等实际危害.在上述研究的基础上,设计并实现了Android应用推送服务安全增强方案SecPush,使用加密算法及HMAC运算提供推送数据分发环节的安全保护,实验结果表明:SecPush提高了推送数据的安全性,可有效抵挡窃听、篡改、伪造和重放等攻击行为.

主 题 词：安卓 推送服务 数据分发 共享通道 安全分析 安全增强 

学科分类：0810[工学-土木类] 0808[工学-自动化类] 0839[0839] 08[工学] 0835[0835] 0811[工学-水利类] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.7544/issn1000-1239.2016.20150528

馆 藏 号：203208462...