Activity 组件暴露检测
漏洞描述:
导出的 Activity 组件可以被第三方 APP 任意调用,导致敏感信息泄露,并可能受到绕过认证、恶意代码注入等攻击风险。
修复建议:
如果应用的Activity组件不必要导出,或者组件配置了intent filter标签,建议显式设置组件的 android:exported 属性为false;如果组件必须要提供给外部应用使用,建议对组件进行权限控制。
修复方案:
1、修改android:exported属性
true:允许被启动;
false:不允许被启动,这个Activity只会被当前Application或者拥有同样user ID的Application的组件调用
Activity中是否有intent filter标签
没有intent filter - 默认值为false
没有任何的filter意味着这个Activity只有在详细的描述了它的class name后才能被唤醒,这意味着这个Activity只能在应用内部使用,因为其它应用程序并不知道这个class的存在,所以在这种情况下,它的默认值是false
有intent filter - 默认值为true
如果Activity里面至少有一个filter的话,意味着这个Activity可以被其它应用从外部唤起,这个时候它的默认值是true
2、权限控制(如果设置权限控制,就认为不存在安全风险)
不只有exported这个属性可以指定Activity是否暴露给其它应用,也可以使用permission来限制外部实体唤醒当前Activity
android:permission 指定启动该Activity所需要的权限名称
如果人家设置了android:permission=”xxx.xxx.xx”那么,你就必须在你的application的Manifest中设置 usepermission xxx.xxx.xx才能访问人家的东西
例如:
有两个Android工程Demo1,与Demo2. Demo1工程有两个Activity一个是主Activity,另一个是ViewActivity,这个Activity我们给自定义了android.test.action.VIEW的action以及com.test.permission.VIEW的permission。
另一个Demo2的主Activity去调用Demo1里的ViewActivity
在AndroidMainfest.xml中定义action与permission,代码如下:
在demo1的MainActivity.java中设置点击去跳转到ViewActivity,也需要申请权限(manifest里面配置uses-permission)
public class MainActivity extends AppCompatActivity {
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
}
public void onViewClick(View view) {
switch (view.getId()) {
case R.id.startViewActivity:
Intent mIntent = new Intent();
//自定义action
mIntent.setAction("android.test.action.VIEW");
startActivity(mIntent);
break;
default:
break;
}
}
}
上面是同一个Android工程里访问ViewActivity的情形,下面我们新建一个Demo2的android工程,去调用ViewActivity.
Demo2 MainActivity.java代码如下:
public class MainActivity extends AppCompatActivity {
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
}
public void onViewClick(View view) {
switch (view.getId()) {
case R.id.tvStartDemo1ViewActivity:
//跳转demo1的ViewActivity,需要在manifest声明权限
Intent mIntent = new Intent();
//自定义action
mIntent.setAction("android.test.action.VIEW");
startActivity(mIntent);
break;
default:
break;
}
}
}
在Demo2工程里的AndroidMainifest.xml中申请权限,不加权限程序会报错,代码如下:
//demo1的权限
这样app B 给app A 发送消息,A就可以收到了,若未在app B的menifest文件中声明使用相应的权限,app B发送的消息,A是收不到的。
另外,也可在app B 的menifest文件中声明权限时,添加android:protectionLevel=“signature”,指定app B只能接收到使用同一证书签名的app 发送的消息。
Intent 隐式调用漏洞检测
漏洞描述:
隐式 Intent 没有明确指明哪些接收方有权限接收,恶意程序指定 action 标识后,可以获取 Intent 内容,导致数据泄露、Intent 劫持、仿冒、钓鱼应用等风险。
修复建议:
使用 Intent.setPackage、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context, class) 中任一种方法明确指定目标接收方,显式调用 Intent 。
修复方案:
1、Broadcast发送广播漏洞修复
1)如果确定只是应用内部Receiver接受,则通过LocalBroadcastManager.sendBroadcast(intent)发送;
发送广播
Intent intent = new Intent();
intent.setAction(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
intent.putExtra("content", "这是广播");
LocalBroadcastManager.getInstance(ViewActivity.this).sendBroadcast(intent);
广播接收注册
TestBroadcastReceiver receiver = new TestBroadcastReceiver();
IntentFilter filter = new IntentFilter(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
LocalBroadcastManager.getInstance(MainActivity.this).registerReceiver(receiver, filter);
2)如果不是应用内接受,则使用显示意图指定广播接收器,后者通过setPackage指定包名
//广播发送
Intent intent = new Intent();
intent.setPackage("com.test.demo1");
intent.setAction(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
intent.putExtra("content", "这是广播");
sendBroadcast(intent);
//广播接收注册
receiver = new TestBroadcastReceiver();
IntentFilter filter = new IntentFilter(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
registerReceiver(receiver, filter);
3)如果无法指定显示指定,则在发送广播时,增加权限限制,规定接受该广播所需要的权限。(
同上面Activity组件暴露设置权限方案)
4)可以使用EventBus替换
2、跳转系统应用设置或者通知设置
1)跳转系统设置
val intent = Intent()
intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK)
//设置包名
intent.setPackage("com.android.settings")
intent.action = "android.settings.APPLICATION_DETAILS_SETTINGS"
intent.data = (Uri.fromParts("package", packageName, null))
startActivityForResult(intent, 0)
2)跳转到通知设置(只针对5.0以上系统,如果要适配5.0以下,5.0以下直接跳设置页面)
val intent = Intent()
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.O) {
intent.action = Settings.ACTION_APP_NOTIFICATION_SETTINGS
intent.setPackage("com.android.settings")
//这种方案适用于 API 26, 即8.0(含8.0)以上可以用
//这种方案适用于 API 26, 即8.0(含8.0)以上可以用
intent.putExtra(Settings.EXTRA_APP_PACKAGE, packageName)
intent.putExtra(Settings.EXTRA_CHANNEL_ID, applicationInfo.uid)
startActivityForResult(
intent,
0
)
} else {
intent.action = Settings.ACTION_APP_NOTIFICATION_SETTINGS
intent.setPackage("com.android.settings")
intent.putExtra("app_package", packageName)
intent.putExtra("app_uid", applicationInfo.uid)
startActivityForResult(
intent,
0
)
}
WebView 系统隐藏接口漏洞检测
漏洞描述:
WebView 组件包含3个隐藏的系统接口,恶意程序可以利用它们实现远程代码执行。
修复建议:
使用 WebView.removeJavascriptInterface 删除 searchBoxJavaBridge_、accessibility、accessibilityTraversal 这三个隐藏接口。
修复方案:
1、在webview初始化进行设置
private static void removeJsInterface(WebView webView) {
webView.removeJavascriptInterface("searchBoxJavaBridge_");
webView.removeJavascriptInterface("accessibility");
webView.removeJavascriptInterface("accessibilityTraversal");
}
2、通过Aspectj进行全局修复
@Around("call(* android.webkit.WebView.getSettings(..))")
public Object fixWebViewBug(ProceedingJoinPoint joinPoint) throws Throwable {
try {
Object object = joinPoint.getTarget();
WebView webView = (WebView) object;
//移除隐藏接口
webView.removeJavascriptInterface("searchBoxJavaBridge_");
webView.removeJavascriptInterface("accessibility");
webView.removeJavascriptInterface("accessibilityTraversal");
return settings;
} catch (Exception e) {
e.printStackTrace();
}
return joinPoint.proceed();
}
WebView 明文存储密码漏洞检测
漏洞描述:
在使用 WebView 的过程中忽略了 WebSettings.setSavePassword 或调用了 WebSettings.setSavePassword(true),当用户选择保存在 WebView 中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据泄露。
修复建议:
使用WebView.getSettings().setSavePassword(false)来禁止保存密码。
修复方案:
1)在webview初始化进行设置
WebView.getSettings().setSavePassword(false)
2)通过Aspectj全局修复
@Around("call(* android.webkit.WebView.getSettings(..))")
public Object fixWebViewBug(ProceedingJoinPoint joinPoint) throws Throwable {
try {
Object object = joinPoint.getTarget();
WebView webView = (WebView) object;
//禁用保存密码
WebSettings settings = (WebSettings) joinPoint.proceed();
settings.setSavePassword(false);
return settings;
} catch (Exception e) {
e.printStackTrace();
}
return joinPoint.proceed();
}
ZIP 文件目录遍历漏洞检测
漏洞描述:
解压 ZIP 文件,没有对上级目录字符串进行过滤校验,可能导致被解压的文件发生目录跳转,解压到其他目录,并且覆盖相应的文件,最终导致任意代码执行。
修复建议:
解压 ZIP 文件时,判断文件名是否有 ../ 特殊字符;对重要的 ZIP 压缩
包文件进行校验,校验通过才进行解压。
修复方案:
解压缩ZIP格式文件时,注意验证其来源和完整性,并禁止解压目录遍历,例如:
static final int BUFFER = 512;
static final int TOOBIG = 0x6400000; // upper limit of filesize, 100MB
static final int TOOMANY = 1024; // upper limit of entries
private String validateFilename(String filename, String intendedDir) {
File f = new File(filename);
String canonicalPath = f.getCanonicalPath();
File iD = new File(intendedDir);
String canonicalID = iD.getCanonicalPath();
if (canonicalPath.startsWith(canonicalID)) {
return canonicalPath;
} else {
throw new IllegalStateException("File is outside extraction target
directory.");
}
}
参考
Android 应用常见漏洞以及修复方案
[Android开发常见安全漏洞总结]
(https://blog.csdn.net/cufelsd/article/details/89484324?spm=1001.2101.3001.6650.17&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-17.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-17.no_search_link)