由于Android系统中的第三方登录服务具有快捷方便、易于使用等优点,因此其在众多互联网厂商中应用极其广泛.然而,由于第三方登录服务中对应用APP的身份认证过程存在无人介入的特点,这将导致恶意应用可以逆向伪造认证信息、获取非法权限等类型的攻击.针对上述问题,该文对国内两家著名互联网公司所提供的第三方登录协议进行了研究与分析,通过逆向工程和密码协议分析方法,发现其存在严重的身份信息泄露和权限非法提升漏洞;同时,在获得相关厂商官方的漏洞确认的基础上,根据实际的安全需求,提出了基于可信第三方的应用APP身份信息强制验证解决方案,并对该解决方案进行了实现,从有效性、执行性能和兼容性等方面对其进行了测试...

• 单位
  西安电子科技大学