, 王永科 2 , 孙东红 1 , 任萍 3 , 刘柯 4 1. 清华大学 网络科学与网络空间研究院, 北京 100084;
2. 中国科学院 信息工程研究所, 北京 100093;
3. 重庆师范大学 数学学院, 重庆 400047;
4. 中信银行 清华科技园支行, 北京 100084
收稿日期:2016-06-18
基金项目:国家自然科学基金资助项目(61272427);国家科技支撑计划项目(2015AA016007,2015AA020101);贵州省科技支撑计划项目(20136020)
作者简介:刘武(1966-), 男, 副教授。E-mail:liuwu@cernet.edu.cn
摘要:开源智能终端占智能终端市场的绝对优势,基于开源智能终端的应用层出不穷,但与此同时,其安全隐患也一样触目惊心。该文以典型社交网络APP登录认证为例,通过逆向分析当今市场上的主流Android应用,分析登录认证实现过程的机理,对登录认证机制进行安全性评估,挖掘基于现有认证机制的安全漏洞,并针对所发现的安全问题提出了登录认证机制改进方案,总结出一套安全实用的登录认证实践方案,有效提高移动智能终端系统的安全性。
关键词:计算机网络登录认证机制安全漏洞网络安全智能终端移动互联网
Login authentication vulnerability mining and improved login authentication method based on an open source intelligent terminal
LIU Wu1
, WANG Yongke2, SUN Donghong1, REN Ping3, LIU Ke41.Institute of Network Science and Network Space, Tsinghua University, Beijing 100084, China;
2.Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
3.College of Mathematics Science, Chongqing Normal University, Chongqing 400047, China;
4.China Citic Bank Branch of Tsinghua Science and Technology Park, Beijing 100084, China
Abstract: Open source intelligent terminals have many advantages in intelligent smart phones with endless applications of intelligent terminals based on open source codes. However, there are also many security risks for applications using intelligent terminals. This study analyzes the login authentication of a mainstream Android application in today's market by reverse analysis. The security flaws for current login authentication mechanisms are evaluated to discover potential security vulnerabilities in intelligent terminal devices. An improved for login authentication scheme is then given which effectively improves the security of intelligent terminal systems.
Key words: computer networkslogin authentication mechanismsecurity vulnerabilitiesnetwork securityintelligent terminal devicesmobile Internet
据统计,早在2014年6月底,手机网民规模首次超越传统电脑网民规模[1]。目前市场主流智能手机操作系统中开源系统Android凭借其充分的开放性,市场占有率为87%,遥遥领先于其他移动操作系统[2]。伴随Android系统的飞速发展,操作系统开源可定制所带来的碎片化问题日趋严重[3],给Android系统带来越来越多的安全隐患,针对Android系统的攻击事件层出不穷,由漏洞缺陷引发的信息泄露、账号窃取以及钓鱼攻击严重影响了用户的财产及隐私安全[4-6]。
在种类繁多的Android应用中,大多数应用存在客户端和服务器端两部分,该类应用需要用户登录认证,认证通过后方可继续使用此应用的相关服务,登录认证机制为用户隐私信息提供了一层安全保护屏障。目前Android应用主要有传统登录、开放授权(open authorization, OAuth)[7-8]和双因素[9]等登录认证机制。传统登录方式实现简单,只涉及到客户端和服务器双方的通信,但是随着用户使用应用数量的增多,导致用户需要记忆多个用户名和密码,给用户带来诸多不便,如果多个应用使用相同的用户名和密码,其中一个应用泄露密码将影响到其他使用同一密码的应用,存在潜在的安全隐患。为解决以上问题,引入开放授权登录认证机制。在Android平台下,存在多种双因素认证机制,例如“静态密码+短信密码”、“静态密码+动态口令”等,在一定程度上增强了认证安全性,但在实用性和安全性方面存在各种问题。
Shehab等[10]发现开放授权协议2.0版本实现过程中的一种开放重定向攻击,谷歌(Google)、腾讯QQ、新浪微博、淘宝网、支付宝以及人人网等国内外大型网站受到影响,通过诱导用户访问钓鱼网址并完成登录授权,攻击者便可获取用户存储在网站上的隐私信息。此漏洞并非由于开放授权协议本身设计存在安全问题,而是实现过程中没有对重定向统一资源标识符(uniform resource identifier, URI)链接进行校验或者校验被绕过,导致跳转至攻击者的钓鱼网站。Wang等[11]针对脸书(Facebook)、微软(Microsoft)提供的开放授权软件开发工具包(software dovelopment kit, SDK)进行了分析,采用形式化的分析方法,发现了若干开放授权SDK实现中的逻辑错误,得到了Facebook的漏洞奖励,并促进了开放授权2.0规范[12]的修订。Chen等[13]首次对移动平台下的开放授权协议进行了系统性研究,详细分析了开放授权各个版本的工作流程,发现开放授权协议并没有针对移动平台给出使用说明,导致开发者在开发移动应用中面临诸多困惑,并引发隐私泄露、钓鱼攻击等安全漏洞。
开放授权协议已得到广泛应用,但安全问题也日益凸显[14],严重影响广大用户的切身利益。本文经过查阅相关文献和实验分析,总结了OAuth协议在Android平台下面临的几种威胁模型, 主要包括应用secret泄露[15]、身份伪造钓鱼攻击[16]、令牌信息泄露等[17]。以Android系统中某即时通讯软件OAuth认证漏洞为例[18],分析开源智能终端认证漏洞挖掘原理与实现方案[19]。
1 OAuth登录伪造第三方应用漏洞工作机理分析如图 1所示,Android即时通讯系统采用OAuth 2.0的授权码模式提供OAuth登录认证服务,详细登录认证流程如下:
 |
| 图 1 OAuth登录认证过程 |
| 图选项 |
步骤1??第三方应用向手机客户端发送OAuth登录请求;
步骤2??手机客户端弹出登录窗口,供用户输入用户名和密码,进行登录;
步骤3??手机客户端将用户名和密码发送至即时通讯服务器,进行身份认证;
步骤4??认证通过,服务器返回授权码至手机客户端;
步骤5??手机客户端将授权码返回给第三方应用;
步骤6??凭借授权码以及第三方应用向即时通讯服务器请求访问令牌;
步骤7??即时通讯服务器向第三方应用返回访问令牌和身份ID信息;
步骤8??第三方应用向其服务器端发送访问令牌和身份ID信息,进行登录;
步骤9??服务器对访问令牌和身份ID进行验证后,返回登录结果。
OAuth通信过程中伪造身份与钓鱼攻击类似,由于第三方应用和手机客户端之间没有进行合法性身份认证,恶意应用便可以通过伪造第三方应用或手机客户端窃取用户隐私数据。
为了便于第三方应用使用OAuth协议实现登录过程,即时通讯开放平台提供了SDK。SDK通过Android提供的Intent机制,实现第三方应用和手机客户端之间的信息传递。具体工作流程如下:
步骤1??第三方应用发送Action为com.tencent.mm.plugin.openapi.Intent.ACTION_HANDLE_APP_REGISTER的广播内容(Intent)完成注册;
步骤2??向com.tencent.mm.plugin.base.stub.WXEntryActivity组件发送Intent对象请求登录;
步骤3??用户完成登录授权后,服务器向手机客户端返回授权码;
步骤4??第三方应用为了能够成功获取授权码,需要注册名称为packagename(第三方应用包名)+wxapi.WXEntryActivity的Activity组件,并在此Activity的onCreate方法中获取手机客户端返回的包含授权码的Intent对象;
步骤5 得到授权码后,再凭借注册时分配的应用ID和应用Secret,第三方应用通过服务器换取访问令牌和身份ID信息https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code;
步骤6??返回结果如图 2所示,其中包括访问令牌、身份ID以及有效时间等;
 |
| 图 2 返回信息 |
| 图选项 |
步骤7??得到访问令牌和身份ID信息后,OAuth授权过程已经完成,第三方应用便可以凭借以上信息获取该客户端的资源。
通过研究发现, 以上过程中第三方应用请求OAuth登录时,手机客户端没有严格验证第三方应用的身份信息(如应用签名),导致恶意应用可以伪造合法的第三方应用; 诱导用户授权登录后,便可以获取当前用户的授权码;结合某些第三方应用泄露的应用隐蔽信息(secret),便可以获得访问令牌和身份ID等信息;再通过即时通讯开放平台提供的应用程序编程接口(application programming interface, API)便可以得到该用户的信息,造成用户信息泄露。
除此之外,恶意应用完成以上过程不需要申请任何权限(如android.permission.INTERNET)。原因是即时通讯开放平台将权限检查放在了其SDK中实现,而没有在手机客户端提供授权的组件(com.tencent.mm.plugin.base.stub.WXEntryActivity)中进行权限检查,恶意应用无需使用SDK,直接发送登录Intent请求至手机客户端,便可以绕过SDK的权限检查。
2 OAuth登录伪造第三方应用漏洞的验证及运行结果2.1 利用OAuth登录伪造第三方应用的漏洞实现网络攻击行为利用OAuth登录伪造第三方应用漏洞来实现钓鱼攻击过程。主要工作流程如下:
步骤1??如图 3所示,首先构造Intent对象,并且通过sendBroadcast接口发送广播消息完成注册;
 |
| 图 3 构造Intent对象 |
| 图选项 |
步骤2??通过startActivity接口发送Intent至com.tencent.mm.plugin.base.stub.WXEntryActivity组件,目的是请求授权;
步骤3??如果手机客户端当前处于已登录状态,发送以上Intent请求后,会跳转至用户授权界面;
步骤4??由于没有对第三方应用进行身份验证,服务器将恶意应用当作合法应用;
步骤5??如果用户成功完成授权,恶意应用通过注册伪造的WXEntryActivity组件,在其onCreate入口函数中通过相应代码便可以得到授权码信息;
步骤6??如果用户成功完成授权,恶意应用通过注册伪造的WXEntryActivity组件,在其onCreate入口函数中通过如图 4所示的代码,便可以得到授权码信息;
 |
| 图 4 恶意应用注入恶意代码 |
| 图选项 |
步骤7 恶意应用得到用户授权码后,利用所泄露的应用secret(通过逆向分析可以得到),再通过即时通讯系统提供的API功能接口便可以得到访问令牌和身份ID信息,具体如下:https://api.weixin.qq.com/sns/oauth2/access_token?appid=wxda04c5f5161b9952&secret=8ee0c4af652dcc6457b3fdacca02f186&code=0419300ab98f7272e160a119e27614do&grant_type=authorization_code。
2.2 运行结果恶意应用得到当前用户的访问令牌和身份ID信息后,通过即时通信开放平台提供的API接口便可以获取用户的个人信息,具体如下:https://api.weixin.qq.com/sns/userinfo?access_token=OezXcEiiBSKSxW0eoylIeBNjOj53UGnuUd8LYr1UX-D3986eHkYqjHot3f5IG9-7wPyNPf_Tr7wpD7LabH2sDPqnVX76P__tMFBQ05ss5xIvPaNX_V0de5822Kx4UcGuz5GS8QZhwjIo8q3VuBdI4A&openid=o06exjv8L19SnFm4g1BF6mL0UYFw。
访问以上URL可以得到用户信息,包括用户昵称、性别、语言以及地址信息等,如图 5所示。
 |
| 图 5 利用访问令牌获取用户信息 |
| 图选项 |
3 OAuth登录认证机制改进针对上述开放授权登录认证机制的威胁模型和安全漏洞,提出安全性改进措施。
3.1 基本原理为了防止应用泄露,Android客户端需要严格保护好应用secret,即采取加密技术对应用secret进行加密,而不应以明文的形式编码在应用程序包中。然而,如果应用secret出现在应用客户端中,即使采用了加密技术,也有可能被解密,或者通过抓包的方式嗅探第三方应用和服务提供方之间的通信过程取得应用secret明文。因此,尽量不要将应用secret存储在Android客户端中,而应该由第三方应用服务器端代替其客户端将应用secret发送至服务提供方请求访问令牌等信息。
该文提出改进措施的基本工作原理是:在OAuth 2.0的授权码模式中,当第三方应用客户端获得授权码后,不应该由客户端凭借授权码和应用secret向服务提供方请求访问令牌,而应该将授权码发送至其服务器端,由服务器凭借授权码和应用secret向服务提供方请求访问令牌,再凭借访问令牌请求用户资源。如果能够成功获得用户的身份ID信息,表示该用户是服务提供方的合法用户,则向其客户端返回登录成功结果。
以上过程可以顺利完成OAuth登录过程,没有把应用secret放在应用客户端中,而是放在其服务器端,有效地防止了应用secret的泄露。
3.2 具体工作流程下面以手机客户端OAuth登录服务为例介绍改进方案的具体工作流程(见图 6)。
 |
| 图 6 OAuth登录服务改进方案 |
| 图选项 |
如图 6所示,与现有方案相比,本文所提出的改进方案把请求令牌逻辑放在第三方应用服务器端实现,而非由第三方应用客户端完成,有效地防止应用secret泄露,具体工作流程如下:
步骤1??第三方应用向手机客户端发送OAuth登录请求;
步骤2??手机客户端弹出登录窗口,供用户输入用户名和密码,进行登录;
步骤3??手机客户端将用户名和密码发送至服务器,进行身份认证;
步骤4??认证通过,服务器返回授权码至手机客户端;
步骤5??手机客户端将授权码返回给第三方应用;
步骤6??第三方应用将返回的授权码发送至第三方应用服务器;
步骤7??凭借授权码以及应用secret,第三方应用服务器向即时通讯服务器请求访问令牌;
步骤8??即时通讯服务器对授权码和应用secret进行验证后,向第三方应用服务器返回访问令牌和身份ID信息;
步骤9??第三方应用服务器获取到访问令牌和身份ID后,即验证了该用户的合法身份,向第三方应用客户端返回登录结果。
3.3 进一步改进OAuth登录认证流程身份伪造钓鱼攻击漏洞的根本原因在于通信双方没有进行对方身份的合法性验证。本节分别在OAuth协议设计方面和OAuth在Android平台下的实现方面,针对身份伪造钓鱼攻击提出改进方案。
在OAuth 2.0协议设计中,缺乏针对第三方应用身份的充分认证检查,例如在OAuth 2.0中凭借访问令牌请求用户资源时,没有对第三方应用身份进行验证,导致窃取到访问令牌信息的任意攻击者均可以凭借访问令牌获取用户资源,为了避免该问题,可以借助应用secret对访问令牌进行加密,服务提供方接收到加密后的访问令牌后使用对应的应用secret进行解密,因为应用secret是服务提供方发布给第三方应用的私有密钥,在没有泄露的情况下,可以用来对第三方应用进行身份认证,详细过程如图 7和8所示。
 |
| 图 7 OAuth 2.0授权码模式改进 |
| 图选项 |
 |
| 图 8 OAuth 2.0简化模式改进 |
| 图选项 |
针对以上2种OAuth 2.0授权方式的改进,引入应用secret作为密钥对访问令牌进行加密,由服务提供方进行解密,相当于把访问令牌和应用secret私有密钥绑定,只有拥有合法应用secret的第三方应用才可以凭借访问令牌请求用户资源,防止恶意攻击者窃取访问令牌请求资源。
对于Android平台来说,为了防止该类漏洞威胁,操作系统提供了较为便捷的实现方案。在Android平台下,每个应用都拥有自身的身份信息,即应用签名信息,通过检查应用的签名信息便可以完成对应用合法性身份的检查。
对于服务提供方来说,第三方应用程序在其开放平台注册OAuth服务时,需要向服务提供方提交Android客户端的应用签名信息,在第三方应用程序向服务提供方客户端(手机QQ、微信和新浪微博等Android客户端)请求OAuth登录服务时,服务提供方可以通过Android操作系统提供的getPackageInfo API获取请求方应用的签名信息,连同应用ID等信息发送至其服务器端进行合法性检查,如果验证通过则继续往下执行,否则中断OAuth登录过程并向用户提示安全警告。
对于第三方应用来说,也可以采取相同的方式获取服务提供方客户端的签名信息,这一功能主要由服务提供方提供的OAuth登录SDK实现。由于手机QQ、微信和新浪微博等Android客户端的签名信息是公开的,进行签名验证是可行的。鉴于Android应用签名信息较长,也可以通过验证签名信息的散列值进行身份验证,并且更加高效。
以上改进方案对基于Web方式的OAuth登录形式是不可行的,因为目前Android系统没有提供任何机制供Web服务器网站直接获取应用的签名信息,只能由第三方应用通过URI参数的形式将签名信息发送至服务提供方,但恶意应用也可以采用该方式伪造发送合法应用的签名信息。由此可知,签名信息验证过程应该由验证方获取签名信息,而不应该由被验证方发送签名信息至验证方。Android系统的WebView组件支持Web JavaScript与Android Java交互,通过JavaScript调用Java代码获取应用签名信息,传递至服务器进行身份验证即可。
4 结论伴随移动互联网的迅速崛起,人们的日常生活方式发生了巨大改变,基于智能终端的现代生产、生活方式已经大行其道。目前基于开源智能终端的应用层出不穷,但其安全隐患也一样触目惊心。本文通过逆向分析当今市场上的主流Android应用,分析登录认证实现过程的机理,对登录认证机制进行安全性评估,挖掘潜在的安全隐患,并针对发现的安全问题提出改进方案,总结出一套安全实用的登录认证实践方案。
参考文献
| [1] | 中国互联网络信息中心. 中国互联网络发展状况统计报告. . http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/P020170123364672657408.pdf. China Internet Network Information Center. China Internet Development Statistics Report.. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/P020170123364672657408.pdf. (in Chinese) |
| [2] | Strategy Analytics Company. Wireless Smartphone Strategies.. http://www.strategya-nalytics.com/default.aspx?mod=saservice&a0=91&m=5. |
| [3] | 张一文, 雷友珣. Android"碎片化"问题的适配方案的分析与应用[J]. 软件, 2015, 36(12): 180–183.Zhang Y W, Lei Y X. An analysis and application for adaptation solutions of Android fragmentation[J]. Computer Engineering & Software, 2015, 36(12): 180–183. DOI:10.3969/j.issn.1003-6970.2015.12.041(in Chinese) |
| [4] | Yuan Z, Lu Y, Xue Y. Droid detector:Android malware characterization and detection using deep learning[J]. Tsinghua Science & Technology, 2016, 21(1): 114–123. |
| [5] | Feizoliah A, Anuarn B, Salleh R, et al. A review on feature selection in mobile malware detection[J]. Digital Investigation, 2015, 6(13): 22–37. |
| [6] | Yang X L. Malicious detection based on reliefF and boosting multidimensional features[J]. Journal of Communications, 2015, 10(11): 910–917. |
| [7] | IETF OAuth Work Group. OAuth Protocol.. http://oauth.net/. |
| [8] | 陈伟, 杨伊彤, 牛乐园. 改进的OAuth 2.0协议及其安全性分析[J]. 计算机系统应用, 2014, 23(3): 25–30.Chen W, Yang Y T, Niu L Y. Improved OAuth 2.0 protocol and analysis of its security[J]. Computer Systems and Applications, 2014, 23(3): 25–30. (in Chinese) |
| [9] | Schneier B. Two-factor authentication:Too little, too late[J]. Communications of the ACM, 2005, 48(4): 136. DOI:10.1145/1053291 |
| [10] | Shehab M, Marouf S. Recommendation models for open authorization[J]. Dependable and Secure Computing, 2012, 9(4): 583–596. DOI:10.1109/TDSC.2012.34 |
| [11] | Wang R, Zhou Y, Chen S, et al. Explicating SDKs:Uncovering assumptions underlying secure authentication and authorization[C]//Proceedings of the 22nd USENIX Conference on Security (SEC 2013). Berkeley, CA, USA:ACM, 2013:399-414. |
| [12] | IETF OAuth Work Group. The OAuth 2.0 Authorization Framework.. https://tools.ietf.org/html/rfc6749. |
| [13] | Chen E, Pei Y, Chen S, et al. OAuth demystified for mobile application developers[C]//Proceedings of the ACM Conference on Computer and Communications Security (CCS 2014). Scottsdale, AZ, USA:ACM, 2014:892-903. |
| [14] | 王焕孝, 顾纯祥, 郑永辉. 开放授权协议OAuth2.0的安全性形式化分析[J]. 信息工程大学学报, 2014, 15(2): 141–147.Wang H X, Guo C X, Zheng Y H. Formal security analysis of OAuth2.0 authorization protocol[J]. Journal of Information Engineering University, 2014, 15(2): 141–147. (in Chinese) |
| [15] | Mariantonietta L P, Febio M, Daniele S. A survey on security for mobile devices[J]. IEEE Communications Surveys & Tutorials, 2013, 15(1): 446–471. |
| [16] | William E, Machigar O, Patrick M. Understanding Android security[J]. IEEE Security and Privacy, 2009, 7(1): 50–57. DOI:10.1109/MSP.2009.26 |
| [17] | Asaf S, Yuval F, Uri K, et al. Google Android:A comprehensive security assessment[J]. IEEE Security and Privacy, 2010, 8(2): 35–44. DOI:10.1109/MSP.2010.2 |
| [18] | Zhang Y, Fang J, Wang K, et al. Overview of Android security vulnerabilities mining technology[J]. Computer Research and Development, 2015, 52(10): 2167–2177. |
| [19] | Enck W, Ongtang M, Mcdaniel P. Understanding Android security[J]. IEEE Security and Privacy, 2009, 7(1): 50–57. DOI:10.1109/MSP.2009.26 |
