移动应用登录设备数量管控机制的安全性研究

刘智晨; 张歆; 张晓寒

doi:10.20009/j.cnki.21-1106/TP.2025-0122

小型微型计算机系统 ›› 2026, Vol. 47 ›› Issue (4) : 919 -926. DOI: 10.20009/j.cnki.21-1106/TP.2025-0122

移动应用登录设备数量管控机制的安全性研究

刘智晨, 张歆, 张晓寒

作者信息 +

Author information +

文章历史 +

PDF

摘要

当前，移动应用普遍采用登录设备数量管控机制，限制一个账号仅能在有限台设备上同时保持登录状态，从而防止服务方资源被滥用.然而，此类管控机制的安全性尚未得到充分研究.本文针对安卓应用的登录设备数量管控机制开展了系统性实证研究.本文提出了基于登录凭证复用和设备标识伪造的绕过攻击，并依此构建了分析系统，对流行应用的管控机制安全性进行了测试与分析.研究发现，本文测试的208款热门应用的管控机制均存在可被绕过的安全漏洞，导致黑灰产能以较低成本实现服务资源滥用.对此，本文从凭证存储和设备标识技术两方面提出了安全建议，以提升移动应用登录设备数量管控机制的安全性.