Detection of SSL/TLS Implementation Errors in Android Applications

Authors : Kaya Emre CİBALIK, Cemal KOÇAK

Pages : 211-219

Doi:10.29109/gujsc.878053

View : 16 | Download : 10

Publication Date : 2021-06-27

Article Type : Research Paper

Abstract :Güvenlik Soket Katmanı (SSL) / Taşıma Katmanı Güvenliği (TLS) protokolleri, ağ iletişimini (örneğin, kullanıcı verilerini iletmek gibi.) güvenli hale getirmek için kullanılır. Uygulama geliştirme sırasında SSL/TLS yapılandırmasının doğru şekilde uygulanmaması güvenlik risklerine neden olur. Zayıf uygulama örnekleri, tüm ana bilgisayar adlarına güvenmeyi, tüm sertifikalara güvenmeyi, sertifika doğrulama hatalarını görmezden gelmeyi, hatta SSL açık anahtar sabitleme kullanımının olmadığı durumları içermektedir. Bu güvenli olmayan yapılandırma durumları Man-In-The-Middle (Ortadaki Adam) saldırılarına neden olabilir. Bu araştırmanın temel amacı, Android uygulamalarında SSL/TLS uygulamasının yapılandırma hatalarını tespit etmektir. Mevcut açık kaynak araçlarının ortak kullanımı ve analiz sürecini, dinamik analizi manuel yöntemle ve otomatikleştirilmiş statik analiz ile birleştirilmesinden oluşmaktadır. Statik analiz aşamasında dört tür güvenlik açığı taranmakta, ve dinamik analiz aşamasında SSL/TLS'nin kötüye kullanımını durumunu doğrulamak için kullanılmaktadır. Dinamik analiz, statik analiz aşamasında oluşan yanlış pozitifleri ortadan kaldırmak için gereklidir. Google Play Store'dan indirilen 109 uygulama analiz edildi ve deneysel sonuçlar 45 (% 41,28) uygulamanın SSL/TLS uygulamasında potansiyel güvenlik hataları içerdiğini göstermektedir. 109 uygulamadan 19'unun (% 17.43) MITM saldırılarına açık olduğu yapılan son testlerle doğrulanmıştır.
Keywords : Android, Uygulama Güvenliği, SSL TLS, Mobil Güvenlik