Android安全编码规范可分为Android平台上特有的(Android-Only)、C、Java三个方面的安全编码规范。
Android-Only
敏感信息不要保存到外部存储中,除非做了加密。
外部存储包括SDK卡、Android/obb目录、挂载到PC的Android设备存储。 Android4.1以前的版本外部存储文件是任意读的,Android 1外部存储文件是任意写的。Android1 到Android4.3,只有赋予了WRITE_EXTERNAL_STORAGE permission权限才能写外部存储文件。从Android4.4开始,基于目录的文件分组和权限才实现,app只能 管理/读/写应用PackageName目录下的文件。
基于以上权限控制的缺失时,外部存储区域的文件能够被其他app读写。
因此,除非事先作了加密,开发者不要把敏感数据存储在外部存储设备。因为无法保证外部存储文件的可用性、完整性、机密性。
限制应用敏感数据的content provider访问权限
在API LEVEL16及以下的版本,content provider组件的android:exported默认值为public,除非显示设置android:exported="false".
在API LEVEL17及以上版本,content provider组件的android:exported默认值为private.
在 API LEVEl 8及以下版本,即使显式设定了android:exported=false,content provider组件依旧可以被其他应用访问。
阻止webView通过file:schema方式访问到本地敏感数据
如果加载了恶意的file:schema url来源,通过js(当setJavaScriptEnabled(true))能够攻击到目标应用:
1.WebSettings#setAllowFileAccessFromFileURLs被允许,本地任意文件能够被恶意js通过XMLHTTP访问file:schema获取到
2.WebSettings#setAllowUniversalAccessFromFileURLs被允许,任意文件(包括本地和http/https)能够被恶意js获取到
防护方法:
1.禁用file:schema(webView.getSettings().setAllowFileAccess(false);)
2.对于需要使用file:schema的,禁止file协议调用js(webView.getSettings().setJavaScriptEnabled(false);)
不要广播敏感信息
如果消息广播和接受在同一个应用中的时候,使用LocalBroadcastManager替代。这样其他应用就接收不到广播信息了,减少敏感信息泄露的风险。
不要把敏感信息打印到LOG中
在Android4.0之前,获得READ_LOGS权限的应用可以读取所有应用的LOG输出。在Android4.1起,应用只能读取自己的LOG输出。但是,如果把Android设备连接到PC上,依旧可以获取到所有应用的LOG内容。
不要对恶意的intents给出URI权限
过滤掉恶意的intents
对Services的exported进行合适的设置,根据情况做权限控制
对Activity设置exported属性为false,尤其是敏感的Activity,或者对CallingActivity进行白名单过滤
总之,对内部使用的组件,显示的设置exported属性为false
应用发布前确保android:debuggable 属性设置为false
谨慎使用addJavascriptInterface,除非设置min API LEVEL>=17
防护建议:
Android>=17,允许js被调用的函数必须以@JavascriptInterface进行注解,因此不受影响;
对于API LEVEL < 17,尽量不要使用addJavascriptInterface,如果一定要用,那么:
1)使用https协议加载URL,使用证书校验,防止访问的页面被篡改挂马
2)对加载URL做白名单过滤、完整性校验等防止访问的页面被篡改;
3)如果加载本地html,应该会HTML内置在APK中,以及对HTML页面进行完整性校验
使用Android的AES加密算法时,不要使用默认的加密模式ECB
Cipher cipher = Cipher.getInstance( "DES/ECB/NoPadding" )
加密模式:ECB、CBC、CFB、OFB等,其中ECB的安全性较弱,将会使相同的明文在不同时候会产生相同的密文,容易遭到字典攻击,安全性不够高。建议使用CBC模式。
具体可参考:
http://www.freebuf.com/news/special/56506.html
使用NDK创建文件时,限制文件权限
使用NDK创建的文件,默认权限为-rw-rw-rw-。
防护建议:
1)使用umask去掉对应的权限
2)使用open(),设置对应的权限范围
不要使用loopback来通信敏感数据
loopback,就是与localhost 的端口建立网络连接,不应该来进行敏感数据通信。因为其他应用也可以获得这些数据,造成敏感信息泄露。
建议使用Android 的IPC机制,比如HttpsURLConnection或者SSLSocket类。
参考链接:https://www.securecoding.cert.org