_Android系统中第三方登录漏洞与解决方案
由于 Android系统中的第三方登录服务具有快捷方便、易于使用等优点,因此其在众多互联网厂商中应用极其广泛.然而,由于第三方登录服务中对应用 APP的身份认证过程存在无人介入的特点,这将导致恶意应用可以逆向伪造认证信息、获取非法权限等类型的攻击.针对上述问题,该文对国内两家著名互联网公司所提供的第三方登录协议进行了研究与分析,通过逆向工程和密码协议分析方法,发现其存在严重的身份信息泄露和权限非法提升漏洞;同时,在获得相关厂商官方的漏洞确认的基础上,根据实际的安全需求,提出了基于可信第三方的应用 APP身份信息强制验证解决方案,并对该解决方案进行了实现,从 有 效 性、执行性能和兼容性等方面对其进行了测试与分析评估.结果表明:该文所提解决方案不仅能够完全防御此类攻击,同时具有性能优兼容性好的特点.
- 2021-04-18
- 阅读134
- 下载1
- 13页
- pdf
