Güvenlik Soket Katmanı (SSL) / Taşıma Katmanı Güvenliği (TLS) protokolleri, ağ iletişimini (örneğin, kullanıcı verilerini iletmek gibi.) güvenli hale getirmek için kullanılır. Uygulama geliştirme sırasında SSL/TLS yapılandırmasının doğru şekilde uygulanmaması güvenlik risklerine neden olur. Zayıf uygulama örnekleri, tüm ana bilgisayar adlarına güvenmeyi, tüm sertifikalara güvenmeyi, sertifika doğrulama hatalarını görmezden gelmeyi, hatta SSL açık anahtar sabitleme kullanımının olmadığı durumları içermektedir. Bu güvenli olmayan yapılandırma durumları Man-In-The-Middle (Ortadaki Adam) saldırılarına neden olabilir. Bu araştırmanın temel amacı, Android uygulamalarında SSL/TLS uygulamasının yapılandırma hatalarını tespit etmektir. Mevcut açık kaynak araçlarının ortak kullanımı ve analiz sürecini, dinamik analizi manuel yöntemle ve otomatikleştirilmiş statik analiz ile birleştirilmesinden oluşmaktadır. Statik analiz aşamasında dört tür güvenlik açığı taranmakta, ve dinamik analiz aşamasında SSL/TLS'nin kötüye kullanımını durumunu doğrulamak için kullanılmaktadır. Dinamik analiz, statik analiz aşamasında oluşan yanlış pozitifleri ortadan kaldırmak için gereklidir. Google Play Store'dan indirilen 109 uygulama analiz edildi ve deneysel sonuçlar 45 (% 41,28) uygulamanın SSL/TLS uygulamasında potansiyel güvenlik hataları içerdiğini göstermektedir. 109 uygulamadan 19'unun (% 17.43) MITM saldırılarına açık olduğu yapılan son testlerle doğrulanmıştır.
Security Socket Layer (SSL) / Transport Layer Security (TLS) protocols are utilized to secure network communication (e.g., transmitting user data). Failing to properly implement SSL/TLS configuration during the app development results in security risks. The weak implementations include trusting all host names, trusting all certificates, ignoring certificate verification errors, even lack of SSL public key pinning usage. These unsecured implementations may cause Man-In-The-Middle (MITM) attacks. The major aim of this research is to detect configuration errors of SSL/TLS implementation in Android apps. We combine existing open-source tools and streamline the analysis process with the combination of automated static analysis and dynamic analysis with manual assistance. We scan for four types of vulnerabilities in the static analysis phase and verify misuse of SSL/TLS in the dynamic analysis phase. The dynamic analysis is essential for eliminating false positives generated at the static analysis stage. We analyze 109 apps from Google Play Store and the experimental results show that 45 (41.28%) apps contain potential security errors in the application of SSL/TLS. We verify that 19 (17.43%) out of 109 apps are vulnerable to MITM attacks.
Birincil Dil | İngilizce |
---|---|
Konular | Mühendislik |
Bölüm | Tasarım ve Teknoloji |
Yazarlar | |
Yayımlanma Tarihi | 27 Haziran 2021 |
Gönderilme Tarihi | 10 Şubat 2021 |
Yayımlandığı Sayı | Yıl 2021 |