面向安卓原生函数层的API安全问题研究

发布时间:2020-12-27 20:24
  目前,随着最新的通信技术的普及,手机已经逐渐替代以前电脑的地位。在2009年的统计中,手机上网用户比例仅仅有60.8%,而到了 2018年,这一统计的数据已经到达了 98.6%。在这一情形下,越来越多的企业选择将本身的服务不是以网页的方式,而是以手机应用的方式展现给用户,并且现在包括大型企业在内的许多服务或者内容提供者都提供了能够连接他们自己的服务器,和客户使用的设备交流通讯的应用程序。同时对于这些应用,他们的手机应用端中用来提供服务的接口和网页端中相应的接口有着很大的区别,这也就意味着,Web网页的中某个API接口的工作逻辑和与之对应的相同功能的移动端API接口不是完全一样的。同时,对于这些手机端的用户而言,手机使用方面的安全问题也急需更高的重视,一旦存在的安全相关的问题,在如此大的用户基数面前,就会使很多人的经济受损,或者隐私遭到泄露。在上述情况的前提下,我们会面向在原生函数层的这些私有Web接口进行自动化的提取和分析,借此来发现原生函数中Web接口与Java函数层的差异性,并且进一步分析存在的安全漏洞。在这一个想法的前提下,我们首先查阅了相关的工作,包括自动化的提取,关于网络隐私... 

【文章来源】:山东大学山东省 211工程院校 985工程院校 教育部直属院校

【文章页数】:67 页

【学位级别】:硕士

【部分图文】:

面向安卓原生函数层的API安全问题研究


图1-1手机网民人数规模增长趋势??

趋势图,互联网公司,比例规,网民


山东大学硕士学位论文??手机上网人数比例??120?:??80?............——??丨?—?—4.._.—.」??m?j?i?…j?i?I??40??20??2CK56?200B?2010?2012?2014?2016?2018?2020??图1-2手机网民比例规模增长趋势??在这个时候,互联网公司所提供的服务不再或者说很少使用网页浏览器端,??相比之下,手机客户端成为了他们的第一选择。在这些互联网公司所开发的应用??中,程序通常都会使用系统网络框架去调用服务器提供的应用程序接口?[2kAPI,??本文中所有提到的API均为Web服务相关的API),同时对于Web?API,存在着??大量的应用场景,包括了神经图像实时解决W,以及各种模块的设计这也导??致API有着自己的应用和相关规范[6,7’8]。在安卓平台中,调用网络框架时,使用??较多的相关组件是DefaultHttpClient,同时有时候,也会涉及到WebView的相关??调用。服务商将应用发布后,就会开启相关服务的访问接口,但是有时候,这些??访问可能是来自恶意攻击的第三方,这时候的服务端,就有可能错误的认为来自??恶意第三方的Web?APIs的请求都是可信的[9]。通常,Web?APIs被设计为只能被??他们自己的客户端调用,但是这里面存在着请求来源难以验证的问题。通常的做??法是加入token或者相关的参数验证,但是一旦被发现其中的规律,这些方法很??有可能会失效并且受到更大的损害。之前相关的工作也论证了这一个安全问题:??恶意的第三方不仅可以伪装成为客户端发送请求,同时还可以利用修改后的请求??来获取其他的资源,这也

隐私


ity的学者Christophe?Leung??就基于移动应用和Web浏览器的隐私泄露问题展开研宄[141。他们认为鉴于基于??Web和基于移动应用程序的生态系统是独立发展的,一个重要的开放性问题是这??些平台在用户隐私方面的比较。在他的文章中,他对50种流行的免费在线服务??进行了面对面的研究,以了解哪种隐私更适合网络或应用程序,并且针对服务进??行手动测试,提取通过明文和加密连接共享的个人身份信息(PII),并分析数据??以了解同一服务跨平台的用户数据收集的差异。其实验结果可以从图1-3中看出。??|?#?of?Avg.?FI?I?Leaks:?|?Leaked?Identifier*:??Services?Hank?Service*?Domains?i?B?D?E?G?L?N?P#?U?PW?UID?? ̄?App?:?s<>?S2.o?4.4??&?4.7 ̄I-7?7?7?7?7?7?7?:?7?7?????I?50??76.0%?a-5?±?3-2?|???/?/?????/?/?????....?App?i?50?34.0?82.CW;?2.S?去?3.4?!???/??93?Web?:?50?-?48.0%?*2.6?i?2.8?i?J?????????/????0?App?;?50?30.J?86.0%?4.1?±?4.4?I?????■/????????????????Web?;?50?-?76-OSt?3.1?±?2.S?|??????????????????A?pp?: ̄ ̄ ̄2?iui?l?OO?OSf?3?0?i?a<??7????;?2?.

【参考文献】:
期刊论文
[1]动静结合的网络恶意代码检测技术研究[J]. 邓兆琨,陆余良,黄钊.  计算机应用研究. 2019(07)
[2]一个正在被API驱动的互联网时代[J]. 石宏.  计算机与网络. 2018(04)
[3]基于WebGIS的警务辅助模块的设计与实现[J]. 高亚飞,卜凡亮.  现代计算机(专业版). 2018(06)
[4]基于静态分析的安全漏洞检测技术研究[J]. 夏一民,罗军,张民选.  计算机科学. 2006(10)

硕士论文
[1]面向WEB应用程序的输入功能测试与XSS漏洞检测[D]. 吕成成.中国科学技术大学 2019
[2]RESTful Web服务在云平台下的设计与实现[D]. 熊耀.电子科技大学 2018



本文编号:2942427

资料下载
论文发表

本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/2942427.html


Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户d4205***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com