安卓第三方推送服務安全分析及增強.pdf

1、推送服務在移動應用中的應用越來越廣泛，為了方便開發(fā)者使用，各大手機平臺以及許多互聯(lián)網(wǎng)公司都陸續(xù)推出了自己的推送服務。然而，安卓生態(tài)的開放性以及推送服務廠商提供的推送服務自身問題，加上應用開發(fā)者對推送服務的不恰當使用，導致目前移動應用在集成推送服務時存在著隱私泄露等問題，給用戶的信息安全帶來了一定的威脅。
　　指出開發(fā)者未能正確使用第三方推送平臺提供的API，存在將注冊密鑰等信息明文存儲問題，并實際分析客戶端應用的通知接收情況，同時

2、首次就應用服務器端與云推送服務器端之間的安全問題進行了分析。通過對3057個應用進行分析，發(fā)現(xiàn)許多開發(fā)者在使用推送服務時存在不恰當使用問題，例如，將在云平臺創(chuàng)建應用時獲得的密鑰等信息明文寫入AndroidManifest文件。同時，分析應用集成推送服務后其真實的使用情況，發(fā)現(xiàn)集成推送服務的客戶端應用日均通知接收量較小，且應用接收通知的時間間隔較大。通過分析應用在集成推送服務時存在的安全問題，并進行了攻擊測試，實現(xiàn)了推送數(shù)據(jù)的偽造、竊取等