面向混合應(yīng)用的Web到Native調(diào)用機(jī)制的安全性研究.pdf

1、目前，越來越多的混合應(yīng)用出現(xiàn)在了各大Android應(yīng)用市場中，根據(jù)IDC的數(shù)據(jù)統(tǒng)計顯示，截至2016年第三季度，Android占據(jù)了智能手機(jī)操作系統(tǒng)份額的86.8％。這些應(yīng)用包含了Android原生的Java代碼以及Web頁面。為了提高用戶的使用體驗，混合應(yīng)用一般都會向Web頁面暴露一些本地Java方法供Web頁面中的JavaScript代碼調(diào)用，訪問一些設(shè)備資源。
　　JavaScript代碼調(diào)用本地Java方法時，應(yīng)用程序首先

2、會與遠(yuǎn)程服務(wù)器建立鏈接，隨后在建立起的鏈接中調(diào)用本地的Java方法。然而，仔細(xì)分析發(fā)現(xiàn)，整個調(diào)用過程存在比較明顯的攻擊面。第一，在建立鏈接過程中，為了保護(hù)數(shù)據(jù)的傳輸，Android混合應(yīng)用通常使用SSL或TLS與遠(yuǎn)端服務(wù)器建立HTTPS鏈接。但是由于開發(fā)者的安全意識不夠強或者開發(fā)時的疏忽，一些HTTPS鏈接并沒有想象的那么安全，特別是當(dāng)HTTPS鏈接中的SSL證書出現(xiàn)錯誤時，對這些錯誤的不恰當(dāng)處理也容易引起中間人攻擊和釣魚攻擊。第二，假

3、如JavaScript調(diào)用的本地Java方法可以執(zhí)行敏感的操作，如發(fā)送短信、訪問聯(lián)系人信息、獲取地理位置信息等，如果這種調(diào)用發(fā)生在HTTP這種不安全的鏈接中時，容易引發(fā)中間人攻擊，惡意代碼被注入后可以在用戶不知情的情況執(zhí)行敏感的操作，造成用戶隱私數(shù)據(jù)泄露甚至對設(shè)備造成一定的危害。
　　為了檢測Web到Native調(diào)用機(jī)制的安全性，論文設(shè)計并實現(xiàn)了一個檢測模型，該檢測模型包括靜態(tài)分析部分和動態(tài)分析部分，能夠(1)判斷應(yīng)用程序與遠(yuǎn)程服

4、務(wù)器建立的HTTPS鏈接是否安全;(2)并可以在HTTP鏈接中檢測是否存在JavaScript調(diào)用本地敏感的Java方法。
　　為了測試此檢測模型的對Web到Native調(diào)用機(jī)制安全性的檢測能力，檢測模型檢測了從國內(nèi)第三方市場中下載的13820個應(yīng)用程序，靜態(tài)分析發(fā)現(xiàn)1360個應(yīng)用可能存在SSL證書錯誤處理不當(dāng)，隨后動態(tài)分析確定了711個存在SSL錯誤處理安全問題的應(yīng)用程序。為了更加詳細(xì)的分析JavaScript在HTTP鏈接中調(diào)