移动智能终端的SSL实现安全性分析

摘要

SSL协议已经成为保护通信安全的重要手段.在移动互联网环境下,移动智能终端应用软件也大量使用SSL协议对网络数据进行安全保护.为了评估移动智能终端应用软件的安全性,对国内6万个Android应用软件的SSL实现安全性进行分析,发现这些应用软件SSL实现方面的四类安全缺陷:可信证书链认证不完整、域名认证不完整、WebView错误忽略和证书绑定不完整.提出相应的检测方法,进而实现了分析和检测工具SSLGuard.对150个银行、金融类样本进行深入分析,实验结果表明:目前国内市场的Android应用软件存在较严重的SSL实现安全缺陷,亟需对手机银行等重要应用软件进行全面测评和认证.