作者:方慧鹏 应凌云 苏璞睿 黄桦烽 何亮安全套接字层协议证书认证中间人攻击
摘要:SSL协议已经成为保护通信安全的重要手段。在移动互联网环境下,移动智能终端应用软件也大量使用SSL协议对网络数据进行安全保护。为了评估移动智能终端应用软件的安全性,对国内6万个Android应用软件的SSL实现安全性进行分析,发现这些应用软件SSL实现方面的四类安全缺陷:可信证书链认证不完整、域名认证不完整、WebView错误忽略和证书绑定不完整。提出相应的检测方法,进而实现了分析和检测工具SSLGuard。对150个银行、金融类样本进行深入分析,实验结果表明:目前国内市场的Android应用软件存在较严重的SSL实现安全缺陷,亟需对手机银行等重要应用软件进行全面测评和认证。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
