Android 组件导出风险及防范
文章目录
- 前言
- 一、四大组件
- 二、组件导出必要性
- 三、组件导出风险
- 四、如何防范
- 总结
前言
近年来,移动APP存在一个非常的重要的问题就是安全问题,造成的后果有可能是用户的隐私泄露和财产损失等,对于一款成熟的APP或者是金融银行类APP,这无疑是最致命的,所以对APP进行有效的防范也是很有必要。近段时间,公司安排了某安全公司对我们的APP进行了全方面的安全测试,根据文档检测结果看,整体上看还是很安全的,其中有一项就是组件导出风险,接下来我们说说四大组件、组件导出必要性、风险以及如何防范。
一、四大组件
从事Android开发,我们都知道Android有四大组件, 分别是:- 活动(Activity),用于表现功能,是用户操作的可视化界面,它为用户提供了一个完成操作指令的窗口;
- 服务(Service),后台运行服务,不提供界面呈现;
- 广播接受者(Broadcast Receive),用于接收广播;
- 内容提供者(Content Provider),支持多个应用中存储和读取数据,相当于数据库。
二、组件导出必要性
什么是组件导出呢?组件导出的意思就是组件可以被外部应用调用,我们可以在这四大组件声明的清单文件设置组件是否导出,如下:
<activity
android:exported="true"
android:name=".other.ComponentActivity">
</activity>
<activity
android:name=".other.ComponentActivity">
<intent-filter>
<action android:name="android.intent.action.VIEW"/>
</intent-filter>
</activity>
- 没有intent filter时,默认为false;
- 有intent filter时,默认为true
Content Provider中exported的默认值:
- 当minSdkVersion或者targetSdkVersion小于16时,默认为true
- 大于17时,默认为false
<!-- 微信分享 -->
<activity
android:name="${applicationId}.wxapi.WXEntryActivity"
android:exported="true"
android:launchMode="singleTask"
android:theme="@android:style/Theme.Translucent.NoTitleBar" />
这些无可避免的组件导出,我们可以回复安全机构:微信分享、推送等功能必须设置组件导出,所以我们只有保证自己的四大组件的设置,确保其是安全的,这样才能确保app处于比较安全的状态,应付安全检测,给你的领导一个交代。
三、组件导出风险
前面说明了组件的重要性、组件导出,那么组件导出的风险是什么呢?- Activity作为组成Apk的四个组件之一,是Android程序与用户交互的界面,如果Activity打开了导出权限,可能被系统或者第三方的App直接调出并使用。Activity导出可能导致登录界面被绕过、拒绝服务攻击、程序界面被第三方恶意调用等风险。
- Broadcast Receiver作为组成Apk的四个组件之一,对外部事件进行过滤接收,并根据消息内容执行响应,如果设置了导出权限,可能被系统或者第三方的App直接调出并使用。Broadcast Receiver导出可能导致敏感信息泄露、登录界面被绕过等风险。
- Service作为组成Apk的四个组件之一,一般作为后台运行的服务进程,如果设置了导出权限,可能被系统或者第三方的App直接调出并使用。Service导出可能导致拒绝服务攻击,程序功能被第三方恶意调用等风险。
- Content Provider组成Apk的四个组件之一,是应用程序之间共享数据的容器,可以将应用程序的指定数据集提供给第三方的App,如果设置了导出权限,可能被系统或者第三方的App直接调出并使用。Content Provider导出可能导致程序内部的敏感信息泄露,数据库SQL注入等风险。
<activity android:name="com.littlejerk.sample.other.WebActivity"/>
- 显式启动,需要指定启动的Activity:
Intent intent = new Intent(getContext(),WebActivity.class);
intent.putExtra("URL","https://blog.csdn.net");
startActivity(intent);
- 隐式启动,Intent中不再包含需要启动的具体的Activity类,而是通过Intent提供某些信息,系统去检索符合启动意图的Activity,这里是通过意图过滤器声明Intent信息:动作(action)、数据(data)、分类(Category)、类型(Type),组件(Component)、和扩展信息(Extra)。
<!-- 通过隐式启动的方式需要在AndroidManifest.xml文件声明-->
<activity android:name=".other.WebActivity">
<intent-filter>
<action android:name="com.littlejerk.sample.action.VIEW_URL" />
<category android:name="android.intent.category.DEFAULT"/>
</intent-filter>
</activity>
//调用方式启动WebActivity
Intent intent = new Intent();
intent.setAction("com.littlejerk.sample.action.VIEW_URL");
intent.putExtra("URL","https://blog.csdn.net");
startActivity(intent);
上面说过有IntentFilter,如果不指定android:exported,那么该值默认为true,外部的应用通过隐式意图的方式也能将对应的组件启动起来。这种情况我们就是我们说的组件导出,而导出则意味着很有可能存在安全问题,接下来看下WebActivity页面:
Intent intent = getIntent();
String url = intent.getStringExtra("URL");
UILog.e(TAG, url.charAt(0));
mTvContent.setText(url);
四、如何防范
我们以最常见的Activity为例说明了组件导出的风险,因为这个URL参数是我们处理的,我们可以防止应用空指针异常,这没问题,但是上面也说如果加载了不良URL呢?其实组件导出的风险最根本原因是被别人调用了,那这样有没有办法控制这个别人的范围,只允许我们信赖的人去调用。在这里不得不提Android的权限机制,Android的Permission检查机制是用来控制一个应用拥有哪些执行权利。例如应用拥有拍照权限才能拥有拍照权利,那么我们是否可以通过权限来控制一个应用是否有启动WebActivity的权利呢?
Android提供了自定义权限的能力,应用可以定义自己的权限,如在清单文件中自定义一个permission:
<permission
android:label="允许打开WebActivity页面权限"
android:name="com.littlejerk.sample.permission.WEB"
android:protectionLevel="signature" />
- label:权限的描述
- name:该权限的名称,使用该权限时通过名称来指定使用的权限
- protectionLevel:该权限受保护的等级,这很重要,它有三个等级
- signature:签名级别权限,即权限的定义方和注册方必须具有相同的签名才有效
- system:系统级别权限,即权限的定义方和注册方必须为系统应用
- signatureOrSystem :同签名或系统应用,上述二者具备其一即可
<!-- 通过隐式启动的方式需要在AndroidManifest.xml文件声明-->
<activity
android:permission="com.littlejerk.sample.permission.WEB"
android:name=".other.WebActivity">
<intent-filter>
<action android:name="com.littlejerk.sample.action.VIEW_URL" />
<category android:name="android.intent.category.DEFAULT" />
</intent-filter>
</activity>
<!--调用方可不用声明-->
<permission
android:label="允许打开WebActivity页面权限"
android:name="com.littlejerk.sample.permission.WEB"
android:protectionLevel="signature" />
<!--调用方必须申请此权限-->
<uses-permission android:name="com.littlejerk.sample.permission.WEB"/>
Activity是我们最常见的一个组件了,但是BroadcastReceiver用的地方也不少,一般安全评测都有提到这个组件的,我们有必要提一提它,其实各个组件的安全控制也可通过permission来控制的。
BroadcastReceiver的注册有两种方式
- 静态注册,在Manifest中声明注册
- 动态注册,在代码中依赖其他组件,通过registerReceiver注册
广播发送方
发送方需要在清单文件AndroidManifest.xml中声明权限:
<permission
android:label="声明发送方权限"
android:name="com.littlejerk.sample.permission.BROADCAST_SEND"
android:protectionLevel="signature" />
//发送广播
Intent intent = new Intent();
intent.setAction("com.littlejerk.sample.broadcast.action.TEST");
sendBroadcast(intent, "com.littlejerk.sample.permission.BROADCAST_SEND");
<!-- 接收方需申请发送方权限-->
<uses-permission android:name="com.littlejerk.sample.permission.BROADCAST_SEND"/>
广播接收方
我们定义一个广播接收器TestReceiver:
public class TestReceiver extends BroadcastReceiver {
private static final String TAG = "TestReceiver";
//接收到广播信息的回调
@Override
public void onReceive(Context context, Intent intent) {
//对外来的参数应该做些合法的检查
String action = intent.getAction();
if (TextUtils.isEmpty(action)) {
return;
}
UILog.e(TAG, "action:" + action);
}
}
<permission
android:label="声明接收方权限"
android:name="com.littlejerk.sample.permission.BROADCAST_RECEIVER"
android:protectionLevel="signature" />
静态注册方式,在清单文件AndroidManifest.xml中:
<receiver
android:name=".widget.receiver.TestReceiver"
android:permission="com.littlejerk.sample.permission.BROADCAST_RECEIVER">
<intent-filter>
<action android:name="com.littlejerk.sample.broadcast.action.TEST"/>
</intent-filter>
</receiver>
Receiver receiver = new Receiver();
IntentFilter intentFilter = new IntentFilter();
intentFilter.addAction("com.littlejerk.sample.broadcast.action.TEST");
registerReceiver(receiver, intentFilter, "com.littlejerk.sample.permission.BROADCAST_RECEIVER", null);
我们对接收器也做了权限限制,那么发送方也必须要申请这个权限才能发送action给它呀,所以发送方的清单文件AndroidManifest.xml中在原有的基础上需要添加:
<!-- 发送方需申请接收方权限-->
<uses-permission android:name="com.littlejerk.sample.permission.BROADCAST_RECEIVER"/>
总结
文章主要讲了四大组件的含义及其重要性,然后阐明为什么会组件导出及导出风险,有些组件导出时必须的,因为要实现一些特定功能,但是对于可控的组件,尽量设置不导出。如果需要导出组件,我们需要严格地做参数检验,防止崩溃;除此之外,最好地防范就是添加权限,这样才能有效地防止被恶意调用,造成不必要的损失。APP合规检查系列文章:
Android Activity防劫持方案
Android 申请权限前简单封装弹框阐述申请理由工具类,应付app合规检查