Investigating mis-implementation of SSL libraries in android applications

Abstract

Çalışmamız, Android markette yer alan popüler uygulamaların SSL zafiyetlerinin araştırılması ve bunların sunulmasını içermektedir. 8.882 uygulama analiz edilmiş ve sonuç olarak 2.354 uygulamanın en az bir SSL kütüphanesini yanlış kullandığını ortaya koyduk. Analiz aşamasını takiben uygulama üzerinde zafiyetleri ortaya çıkarmak için Xposed altyapısını kullanarak örnek bir uygulama gerçekleştirdik. SSL uygulama zafiyeti açısından incelediğimiz uygulamaların yüzde 27'sinin sorun içerdiği sonucuna vardık. Bu zafiyetlerin ana sebepleri geliştirici hataları, üçüncü parti kütüphane ve uygulamaların kullanılması olarak tespit ettik. Sorunlu üçüncü parti kütüphanelerin kullanılması mahremiyet ihlali ve zafiyetlerin istismar edilmesi gibi hatalara yol açtığını ortaya koyduk.

This thesis presents our analysis of applications that are popular at the market against SSL miss-implementation. 8.882 applications analyzed and as a result 2.354 applications have at least one miss use of SSL libraries which are Custom TrustManager, Custom HostnameVerifers and WebViewClient libraries. After analysis phase we have created a proof of concept application as an Xposed framework plugin to identify vulnerabilities. Our conclusion is that 27 percent of applications have a vulnerability from SSL connection stand point. The main reasons for these vulnerabilities are developer errors and third party generators or libraries. Using third party libraries can cause security bugs which leads to informations leakage or exploitation.