Key points are not available for this paper at this time.
Die Secure Sockets Layer (SSL) wird häufig verwendet, um Datenübertragungen im Internet zu sichern. Frühere Studien haben gezeigt, dass der Zustand von SSL-Code außerhalb von Browsern katastrophal ist, sowohl bei einer Vielzahl von Desktop-Anwendungen und Bibliotheken als auch bei einer großen Auswahl an Android-Apps, was die Benutzer anfällig für Man-in-the-Middle-Angriffe (MITMAs) macht. Um mögliche Ursachen für SSL-Probleme auf allen wichtigen appifizierten Plattformen zu bestimmen, haben wir die Analyse auf das walled-garden-Ökosystem von iOS ausgeweitet, Softwareentwickler-Foren analysiert und Interviews mit Entwicklern von anfälligen Apps durchgeführt. Unsere Ergebnisse zeigen, dass die Hauptursachen nicht nur nachlässige Entwickler sind, sondern auch Einschränkungen und Probleme des aktuellen SSL-Entwicklungsparadigmas. Basierend auf unseren Erkenntnissen leiten wir einen Vorschlag ab, um den Umgang mit SSL in der appifizierten Welt neu zu überdenken, und präsentieren eine Reihe von Gegenmaßnahmen zur Verbesserung des Umgangs mit SSL, wobei wir Android als Blaupause für andere Plattformen verwenden. Unsere Gegenmaßnahmen verhindern, dass Entwickler absichtlich oder versehentlich die SSL-Zertifikatsvalidierung brechen, bieten Unterstützung für erweiterte Funktionen wie SSL-Pinning und verschiedene SSL-Validierungsinfrastrukturen und schützen die Benutzer. Wir haben unsere Lösung mit 13.500 beliebten Android-Apps evaluiert und Entwicklerinterviews durchgeführt, um die Akzeptanz unseres Ansatzes zu beurteilen, und festgestellt, dass unsere Lösung für alle untersuchten Apps und Entwickler gut funktioniert.
Fahl et al. (Di,) haben diese Frage untersucht.