推送服务在移动应用中的应用越来越广泛,为了方便开发者使用,各大手机平台以及许多互联网公司都陆续推出了自己的推送服务。然而,安卓生态的开放性以及推送服务厂商提供的推送服务自身问题,加上应用开发者对推送服务的不恰当使用,导致目前移动应用在集成推送服务时存在着隐私泄露等问题,给用户的信息安全带来了一定的威胁。指出开发者未能正确使用第三方推送平台提供的API,存在将注册密钥等信息明文存储问题,并实际分析客户端应用的通知接收情况,同时首次就应用服务器端与云推送服务器端之间的安全问题进行了分析。通过对3057个应用进行分析,发现许多开发者在使用推送服务时存在不恰当使用问题,例如,将在云平台创建应用时获得的密钥等信息明文写入AndroidManifest文件。同时,分析应用集成推送服务后其真实的使用情况,发现集成推送服务的客户端应用日均通知接收量较小,且应用接收通知的时间间隔较大。通过分析应用在集成推送服务时存在的安全问题,并进行了攻击测试,实现了推送数据的伪造、窃取等安全性攻击。针对上述安全问题及其产生的原因,基于开源推送方案mpush,设计并实现了一套针对安卓应用推送服务的安全增强系统SPush,采用非对称加密和签名验证保证消息内容在传输过程中的安全,通过Android NDK实现加密逻辑,以保护数据在智能终端的存储安全。实验结果表明,SPush能有效增强应用在使用推送服务时的数据传输安全以及智能终端存储安全。SPush耗时以及性能消耗较原生mpush增加约4%。