面向混合應(yīng)用的Web到Native調(diào)用機(jī)制的安全性研究.pdf

1、目前，越來(lái)越多的混合應(yīng)用出現(xiàn)在了各大Android應(yīng)用市場(chǎng)中，根據(jù)IDC的數(shù)據(jù)統(tǒng)計(jì)顯示，截至2016年第三季度，Android占據(jù)了智能手機(jī)操作系統(tǒng)份額的86.8％。這些應(yīng)用包含了Android原生的Java代碼以及Web頁(yè)面。為了提高用戶的使用體驗(yàn)，混合應(yīng)用一般都會(huì)向Web頁(yè)面暴露一些本地Java方法供Web頁(yè)面中的JavaScript代碼調(diào)用，訪問(wèn)一些設(shè)備資源。
　　JavaScript代碼調(diào)用本地Java方法時(shí)，應(yīng)用程序首先

2、會(huì)與遠(yuǎn)程服務(wù)器建立鏈接，隨后在建立起的鏈接中調(diào)用本地的Java方法。然而，仔細(xì)分析發(fā)現(xiàn)，整個(gè)調(diào)用過(guò)程存在比較明顯的攻擊面。第一，在建立鏈接過(guò)程中，為了保護(hù)數(shù)據(jù)的傳輸，Android混合應(yīng)用通常使用SSL或TLS與遠(yuǎn)端服務(wù)器建立HTTPS鏈接。但是由于開(kāi)發(fā)者的安全意識(shí)不夠強(qiáng)或者開(kāi)發(fā)時(shí)的疏忽，一些HTTPS鏈接并沒(méi)有想象的那么安全，特別是當(dāng)HTTPS鏈接中的SSL證書(shū)出現(xiàn)錯(cuò)誤時(shí)，對(duì)這些錯(cuò)誤的不恰當(dāng)處理也容易引起中間人攻擊和釣魚(yú)攻擊。第二，假

3、如JavaScript調(diào)用的本地Java方法可以執(zhí)行敏感的操作，如發(fā)送短信、訪問(wèn)聯(lián)系人信息、獲取地理位置信息等，如果這種調(diào)用發(fā)生在HTTP這種不安全的鏈接中時(shí)，容易引發(fā)中間人攻擊，惡意代碼被注入后可以在用戶不知情的情況執(zhí)行敏感的操作，造成用戶隱私數(shù)據(jù)泄露甚至對(duì)設(shè)備造成一定的危害。
　　為了檢測(cè)Web到Native調(diào)用機(jī)制的安全性，論文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)檢測(cè)模型，該檢測(cè)模型包括靜態(tài)分析部分和動(dòng)態(tài)分析部分，能夠(1)判斷應(yīng)用程序與遠(yuǎn)程服

4、務(wù)器建立的HTTPS鏈接是否安全;(2)并可以在HTTP鏈接中檢測(cè)是否存在JavaScript調(diào)用本地敏感的Java方法。
　　為了測(cè)試此檢測(cè)模型的對(duì)Web到Native調(diào)用機(jī)制安全性的檢測(cè)能力，檢測(cè)模型檢測(cè)了從國(guó)內(nèi)第三方市場(chǎng)中下載的13820個(gè)應(yīng)用程序，靜態(tài)分析發(fā)現(xiàn)1360個(gè)應(yīng)用可能存在SSL證書(shū)錯(cuò)誤處理不當(dāng)，隨后動(dòng)態(tài)分析確定了711個(gè)存在SSL錯(cuò)誤處理安全問(wèn)題的應(yīng)用程序。為了更加詳細(xì)的分析JavaScript在HTTP鏈接中調(diào)