Android应用第三方推送服务安全分析与安全增强

发布时间：2018-01-06 16:15

本文关键词：Android应用第三方推送服务安全分析与安全增强　出处：《计算机研究与发展》2016年11期 　论文类型：期刊论文

【摘要】：推送服务已成为移动智能终端应用的一个基础服务,各大手机平台及互联网公司相继推出了各自的推送服务供应用程序开发者使用.为了降低资源消耗,部分第三方Android推送服务采用共享通道的设计方式,在设备上使用某个应用的推送后台组件作为其他应用推送数据的分发中心.由于缺乏针对数据机密性、完整性、不可伪造性等安全需求的设计与实现,数据分发环节面临多种攻击的威胁.分析了使用共享通道的第三方Android推送服务在数据分发环节存在的安全问题,通过在攻击程序中Hook相关API调用的方法,实现了针对其他应用推送数据的窃听、篡改、伪造和重放攻击,实验结果表明:大部分共享通道的第三方Android推送服务无法抵抗这些攻击,可能造成用户隐私数据泄露和钓鱼攻击等实际危害.在上述研究的基础上,设计并实现了Android应用推送服务安全增强方案SecPush,使用加密算法及HMAC运算提供推送数据分发环节的安全保护,实验结果表明:SecPush提高了推送数据的安全性,可有效抵挡窃听、篡改、伪造和重放等攻击行为.
[Abstract]:In order to reduce the consumption of resources , some third - party Android push services are designed and realized by using the shared channel .

【作者单位】：中国科学院软件研究所可信计算与信息保障实验室;国家计算机网络应急技术处理协调中心;中国科学院大学计算机与控制学院;
【基金】：国家“九七三”重点基础研究发展计划基金项目(2012CB315804) 国家自然科学基金项目(61502468) 北京市自然科学基金项目(4154089)~~
【分类号】：TP309
【正文快照】： This work was supported by the National Basic Research Program of China(973Program)(2012CB315804),the National NaturalScience Foundation of China(61502468),and the Beijing Muncipal Natural Science Foundation(4154089).(luyemian@tca.iscas.ac.cn)Security An

【相似文献】