Android系统中第三方登陆漏洞与解决方案
本文选题:第三方登陆 + OAuth ; 参考:《西安电子科技大学》2014年硕士论文
【摘要】:随着科技的发展,移动终端得到了广泛普及,在移动终端所使用的手机操作系统中,Android操作系统由于其开源、免费、定制度高等优点而被各大移动终端生产厂商所采用。Android操作系统的广泛应用,也使得移动智能终端市场得到了快速的发展。用户在使用Android操作系统时,通过简单的学习即可轻松掌握,通过Android操作系统,用户可以方便的接入移动互联网,快速获取实时新闻消息等,也能使用众多互联网厂商所提供的优质服务。现如今,众多互联网厂商已不仅仅提供基础服务,而是希望能够与其他开发商共享数据,共同为用户提供更良好的用户体验。因此,众多互联网厂商在Android操作系统平台上提供了第三方登陆服务,使用户在使用其他应用时可以不需要注册新的账号,而采用第三方登陆服务商提供的登陆授权机制进行快速接入,这大大提升了用户使用新应用时的体验。然而,众多厂商所提供的第三方登陆服务可能存在安全性隐患,一旦其被恶意应用利用,会对用户隐私造成极大威胁。针对此类问题,本文对腾讯、新浪等公司所提供的第三方登陆服务进行反编译分析,破解其登陆认证流程,发现其中存在的漏洞,并对其中漏洞完成利用并获取用户权限,腾讯、新浪公司也确认了漏洞的存在。经过对漏洞的深入研究,本文分别针对第三方登陆服务SSO、Web登陆方式提出并实现了解决方案,并从有效性、性能、兼容性三个方面对解决方案进行了评估,得出解决方案能够较好的解决上述攻击的结论。
[Abstract]:With the development of science and technology, mobile terminals have been widely popularized. The Android operating system is free of charge because of its open source in the mobile operating system used by mobile terminals. Because of the advantages of high fixed system, the Android operating system is widely used by all the major mobile terminal manufacturers, which makes the mobile intelligent terminal market develop rapidly. When using the Android operating system, users can easily master it through simple learning. Through the Android operating system, users can easily access the mobile Internet, quickly obtain real-time news, etc. Can also use numerous Internet manufacturers to provide quality services. Today, many Internet vendors not only provide basic services, but also hope to share data with other developers to provide users with a better user experience. As a result, many Internet vendors have provided third-party login services on the Android operating system platform, allowing users to register new accounts without having to use other applications. Using the login authorization mechanism provided by the third party login service provider, it greatly improves the user's experience when using the new application. However, many third-party login services provided by many vendors may have security risks, once they are used by malicious applications, they will pose a great threat to the privacy of users. In view of this kind of problem, this article carries on the decompilation analysis to the third party login service provided by Tencent, Sina and so on, deciphers its login authentication process, discovers the flaw existing therein, and completes the exploitation and obtains the user authority to the flaw. Tecent, Sina company also confirmed the existence of loophole. Through the in-depth study of the vulnerability, this paper proposes and implements the solution for the third-party login service SSON Web login, and evaluates the solution from three aspects: effectiveness, performance and compatibility. The conclusion that the solution can better solve the above attack.
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.08;TP316
【相似文献】
相关期刊论文 前10条
1 陈琛;;“多方看涨”的Android[J];通信世界;2010年03期
2 陈琛;;Android忧患何在?[J];通信世界;2010年03期
3 李健;;Android:“安致”移动信息处理的未来?[J];电子产品世界;2010年03期
4 单玉良;;2010世界杯,我的Android之旅[J];程序员;2010年03期
5 张雪超;;Android:手机厂商的新机遇[J];互联网天地;2010年02期
6 ;都叫Android为何界面大不同[J];电脑爱好者;2010年10期
7 ;Android来了!上网本也能跑“谷歌机器人”[J];电脑爱好者;2010年11期
8 蔡罗成;;Android后台监听实现机制浅析[J];信息安全与通信保密;2010年06期
9 一笑;;ARM+Android:为数字电视带来开放式软硬件平台[J];电视技术;2010年04期
10 ;分析称Android迅速发展将刺激芯片市场竞争[J];电脑与电信;2010年06期
相关会议论文 前10条
1 万晓燕;徐国庆;;一种Android系统多待机方案设计[A];2011年全国电子信息技术与应用学术会议论文集[C];2011年
2 鲍轩;章坚武;;基于Android的音视频监控软件的设计[A];浙江省信号处理学会2012学术年会论文集[C];2012年
3 Di Jiaqi;Wang Jianhua;Zhang Long;;The Research in Mobile Learning Based on Android Smartphone Platform Application[A];2012年计算机应用与系统建模国际会议论文集[C];2012年
4 Xin Li;Yumei Zhai;Xiong Li;;Research and Implementation of Face Detection System on Android Smart Phone[A];2013年中国智能自动化学术会议论文集(第二分册)[C];2013年
5 符易阳;周丹平;;Android安全机制分析[A];第26次全国计算机安全学术交流会论文集[C];2011年
6 金洁;张琳;;基于Android平台的校园街景的研究和实现[A];2010年通信理论与信号处理学术年会论文集[C];2010年
7 张立;韩银和;袁小龙;;Android系统网络模块功耗的评估和分析[A];第十四届全国容错计算学术会议(CFTC'2011)论文集[C];2011年
8 Zhe Chen;Pei-Luen Patrick Rau;Dennis Schumacher;Osama Khan;Poom Laupattarakasem;Cherry Yu;Nam Wahrenberg;;Development of an Android Mobile Application for International Students[A];第八届和谐人机环境联合学术会议(HHME2012)论文集CHCI[C];2012年
9 Cheng Chen;Li Liu;Jianguo Chen;Cheng Zhang;;Extracting Language Strings from XML Based on Android[A];Proceedings of 2011 International Conference on Computer Science and Information Technology(ICCSIT 2011)[C];2011年
10 魏宁;王金海;;基于Android平台的多生理参数检测系统研究与设计[A];天津市生物医学工程学会第三十四届学术年会论文集[C];2014年
相关重要报纸文章 前10条
1 ;今年Android手机销量将增长9倍[N];计算机世界;2009年
2 本报记者 连晓东;Android机遇无穷 两岸携手1+1>2[N];中国电子报;2010年
3 本报实习记者 朱怡兵;Android陷两难境地 过度开放或适得其反[N];通信信息报;2010年
4 本报记者 林剑;Android阵营风头正劲 国产手机增加竞争筹码[N];通信信息报;2009年
5 尼尔·卡利斯特;Android版本更替频繁适得其反[N];中国计算机报;2009年
6 ;Android培训市场忽悠调查[N];电脑报;2011年
7 项有建 《冲出数字化》作者;Android 4提升平板话语权[N];通信产业报;2011年
8 本报记者 曾航;Android商店:不能承受之乱[N];21世纪经济报道;2012年
9 赵玲玲;康佳发布“六核”Android4.2云电视[N];中华合作时报;2013年
10 通信产业报(网)互联网主编 王彦彬;Android一统天下为时尚早[N];通信产业报;2013年
相关博士学位论文 前3条
1 杨欢;协议漏洞挖掘及Android平台恶意应用检测技术研究[D];西安电子科技大学;2014年
2 尹国伟;基于Android的农技推广数据可靠采集系统研究[D];中国农业科学院;2014年
3 曾述可;基于静态分析的Android操作系统隐私保护机制评估方法研究[D];中国科学技术大学;2014年
相关硕士学位论文 前10条
1 秦凯;Android开源社区应用项目开发的效率研究[D];华南理工大学;2012年
2 陈捷;基于Android的视讯终端[D];吉林大学;2013年
3 王剑龙;基于Android的智能家居控制系统的研究与实现[D];吉林大学;2013年
4 李钰;基于Android系统的行人检测设计[D];天津大学;2012年
5 黄鑫;基于Android的大学生个人课程助理系统的设计与实现[D];厦门大学;2014年
6 祝忠方;基于Android的移动互联终端的设计和实现[D];北方工业大学;2014年
7 江耸;基于Android平台的监狱警务通系统的设计与实现[D];中山大学;2013年
8 党李成;基于Google Android智能手机平台的研究与应用[D];安徽大学;2010年
9 侯效;基于Android的智能终端应用防护系统短信过滤子模块的设计与实现[D];北京邮电大学;2011年
10 胡锐;基于Android系统智能手机的游戏移植开发[D];华南理工大学;2011年
,本文编号:1865274
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1865274.html
