李楠 武汉纺织大学

Android系统的第三方登录漏洞解决应在增加可利用第三方信用值的同时，将第三方参与到控制认证流程中，即利用Android操作系统自身的安全性能作为一个可利用的第三方，然后当恶意应用调用系统函数的时候就会在Android 系统上保留一定的身份信息，然后Android 系统可以通过恶意应用留下的身份信息的API接口进行管理，促使对第三方应用的身份认证能力逐渐增强。

1 Android系统第三方登录漏洞分析

Android系统登录方式主要有Code、Web、SSO三种，现阶段Android系统中常用的登录方式为SSO及Web两种，因此本文主要针对这两种登录过程中的漏洞及应对措施进行分析。

1.1 Web登录漏洞

Web第三方APP登录主要依靠相关平台的用户信息及信息传播能力，用户在进行第三方APP登录过程中，除了相关平台需要对第三方APP提交的身份信息进行审核，并没有对第三方APP的信用证书进行有效的判定，同时，用户在认证过程中一些过于敏感的身份信息就遗留在第三方APP程序中，恶意攻击者可通过反编译、逆向工程等方式获得用户的隐私信息，[1]从而造成了非法授权、身份假冒等安全威胁。

1.2 SSO登录漏洞

SSO第三方APP登录主要利用互联网开发平台的丰富的用户账号群进行，同时为了进一步促进其第三方APP的开发，在第三方APP中连入了用户账号中的访问接口、权限。而在第三方APP登录过程中由于SSO平台仅仅有主应用对用户所提供的身份信息进行确认，并没有针对第三方APP进行重复的信息验证，这就导致用户的身份信息会直接保留在第三方APP的浏览记录中，从而相当于用户的信息在APP中公开展示，造成了恶意攻击及假冒欺骗的风险。

2 Android系统漏洞应对措施

针对SSO、Web等第三方APP登录过程中出的安全漏洞，可从两个方面采用以下措施进行解决：

2.1 Web第三方APP登录应对措施

Web登录方式主要是第三方APP登录过程中通过身份信息假冒所获取非法的授权，因此可以使Andorid系统参与到第三方APP的认证过程中，主要是利用Andorid系统的WebView控制软件增加对第三方APP的认证管理。即利用此软件创建一个可信任的第三方应用，然后调动WebView中的postUrl函数向系统发送应用登录参数GET请求，如Hash、ID、包名、签名等，然后主应用可通过WebView中第三方APP的各项身份信息与登录验证时提交的身份信息进行对比，然后将第三方APP的包名、签名等身份信息加入到主应用的管理对象中，如将第三方APP签名加入到主应用的“package-sig”管理中，最后检查用户是否登录，若用户未登录则可在获取第三方APP权限的前提下弹出请求用户登录的登录框。

2.2 SSO第三方APP登录应对措施

为了解决SSO第三方APP登录过程中出现的恶意攻击及假冒身份的安全漏洞，可以通过对主应用进行完善，即当主应用处理第三方APP登录问题时，可以借助Android系统的权限，然后由Android 系统提供API接口，从而详细收集第三方APP的包名、签名等文件，同时将这些信息与第三方APP认证时传入主应用的数据进行核对其身份信息的正确性，然后从根本上解决第三方恶意应用利用假冒包名或签名获取认证权限，从而对用户使用过程中造成的安全威胁。具体步骤主要是进一步细化第三方SSO登录方式，即第三方应用发送登录请求时，然后利用Android系统保留第三方身份信息，同时主应用将Android系统提供的getPackagName、getCallingActivity等函数中获取第三方应用的包名进行查询，同理主应用可获第三方应用的签名，然后经对比核对无误后才能允许用户登录。

总而言之，在Android系统第三方APP登录过程中，SSO和Web是较为常见的登录方式，而这两种登录方式都存在着一定的安全隐患，如恶意应用可通过假冒身份信息非法获取用户的隐私信息等，因此针对Android系统第三方APP登录方式的漏洞，可在借用Android系统这个可信用的第三方的基础上，针对SSO及Web两种登录方式出现的漏洞进行逐一分析，从而加强主应用对第三方APP登录的身份认证管理，促使用户使用Android系统过程中的安全得到进一步加强。

[1]董超,杨超,马建峰等.Android系统中第三方登录漏洞与解决方案[J].计算机学报,2016,39(3):582-594