Android静态安全检测漏洞修复

Activity 组件暴露检测

漏洞描述:
导出的 Activity 组件可以被第三方 APP 任意调用,导致敏感信息泄露,并可能受到绕过认证、恶意代码注入等攻击风险。

修复建议:
如果应用的Activity组件不必要导出,或者组件配置了intent filter标签,建议显式设置组件的 android:exported 属性为false;如果组件必须要提供给外部应用使用,建议对组件进行权限控制。

修复方案:
1、修改android:exported属性
true:允许被启动;
false:不允许被启动,这个Activity只会被当前Application或者拥有同样user ID的Application的组件调用

Activity中是否有intent filter标签
没有intent filter - 默认值为false
没有任何的filter意味着这个Activity只有在详细的描述了它的class name后才能被唤醒,这意味着这个Activity只能在应用内部使用,因为其它应用程序并不知道这个class的存在,所以在这种情况下,它的默认值是false

 有intent filter - 默认值为true
 如果Activity里面至少有一个filter的话,意味着这个Activity可以被其它应用从外部唤起,这个时候它的默认值是true

2、权限控制(如果设置权限控制,就认为不存在安全风险)
不只有exported这个属性可以指定Activity是否暴露给其它应用,也可以使用permission来限制外部实体唤醒当前Activity
android:permission 指定启动该Activity所需要的权限名称
如果人家设置了android:permission=”xxx.xxx.xx”那么,你就必须在你的application的Manifest中设置 usepermission xxx.xxx.xx才能访问人家的东西

例如:
有两个Android工程Demo1,与Demo2. Demo1工程有两个Activity一个是主Activity,另一个是ViewActivity,这个Activity我们给自定义了android.test.action.VIEW的action以及com.test.permission.VIEW的permission。

另一个Demo2的主Activity去调用Demo1里的ViewActivity
在AndroidMainfest.xml中定义action与permission,代码如下:




    
    
    
        
            
                
                
                
            

        
        
            
                

                
            
        
    
    
    

在demo1的MainActivity.java中设置点击去跳转到ViewActivity,也需要申请权限(manifest里面配置uses-permission)

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
    }
    public void onViewClick(View view) {
        switch (view.getId()) {
            case R.id.startViewActivity:
                Intent mIntent = new Intent();
                //自定义action
                mIntent.setAction("android.test.action.VIEW");
                startActivity(mIntent);
                break;
            default:
                break;
        }
    }
}

上面是同一个Android工程里访问ViewActivity的情形,下面我们新建一个Demo2的android工程,去调用ViewActivity.
Demo2 MainActivity.java代码如下:

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
    }

    public void onViewClick(View view) {
        switch (view.getId()) {
            case R.id.tvStartDemo1ViewActivity:
                //跳转demo1的ViewActivity,需要在manifest声明权限
                Intent mIntent = new Intent();
                //自定义action
                mIntent.setAction("android.test.action.VIEW");
                startActivity(mIntent);
                break;
            default:
                break;
        }
    }
}

在Demo2工程里的AndroidMainifest.xml中申请权限,不加权限程序会报错,代码如下:



    //demo1的权限
    
    
        
            
                

                
            
        
    


这样app B 给app A 发送消息,A就可以收到了,若未在app B的menifest文件中声明使用相应的权限,app B发送的消息,A是收不到的。

另外,也可在app B 的menifest文件中声明权限时,添加android:protectionLevel=“signature”,指定app B只能接收到使用同一证书签名的app 发送的消息。

Intent 隐式调用漏洞检测

漏洞描述:
隐式 Intent 没有明确指明哪些接收方有权限接收,恶意程序指定 action 标识后,可以获取 Intent 内容,导致数据泄露、Intent 劫持、仿冒、钓鱼应用等风险。

修复建议:
使用 Intent.setPackage、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context, class) 中任一种方法明确指定目标接收方,显式调用 Intent 。

修复方案:
1、Broadcast发送广播漏洞修复
1)如果确定只是应用内部Receiver接受,则通过LocalBroadcastManager.sendBroadcast(intent)发送;

发送广播
Intent intent = new Intent();
intent.setAction(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
 intent.putExtra("content", "这是广播");
LocalBroadcastManager.getInstance(ViewActivity.this).sendBroadcast(intent);

广播接收注册
    TestBroadcastReceiver receiver = new TestBroadcastReceiver();
    IntentFilter filter = new IntentFilter(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
    LocalBroadcastManager.getInstance(MainActivity.this).registerReceiver(receiver, filter);

2)如果不是应用内接受,则使用显示意图指定广播接收器,后者通过setPackage指定包名

//广播发送
Intent intent = new Intent();
intent.setPackage("com.test.demo1");
intent.setAction(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
intent.putExtra("content", "这是广播");
sendBroadcast(intent);
//广播接收注册
receiver = new TestBroadcastReceiver();
IntentFilter filter = new IntentFilter(TestBroadcastReceiver.TEST_RECEIVER_ACTION);
registerReceiver(receiver, filter);

3)如果无法指定显示指定,则在发送广播时,增加权限限制,规定接受该广播所需要的权限。(
同上面Activity组件暴露设置权限方案)

4)可以使用EventBus替换

2、跳转系统应用设置或者通知设置
1)跳转系统设置

            val intent = Intent()
            intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK)
            //设置包名
            intent.setPackage("com.android.settings")
            intent.action = "android.settings.APPLICATION_DETAILS_SETTINGS"
            intent.data = (Uri.fromParts("package", packageName, null))
            startActivityForResult(intent, 0)

2)跳转到通知设置(只针对5.0以上系统,如果要适配5.0以下,5.0以下直接跳设置页面)

            val intent = Intent()
            if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.O) {
                intent.action = Settings.ACTION_APP_NOTIFICATION_SETTINGS
                intent.setPackage("com.android.settings")
                //这种方案适用于 API 26, 即8.0(含8.0)以上可以用
                //这种方案适用于 API 26, 即8.0(含8.0)以上可以用
                intent.putExtra(Settings.EXTRA_APP_PACKAGE, packageName)
                intent.putExtra(Settings.EXTRA_CHANNEL_ID, applicationInfo.uid)
                startActivityForResult(
                    intent,
                    0
                )
            } else {
                intent.action = Settings.ACTION_APP_NOTIFICATION_SETTINGS
                intent.setPackage("com.android.settings")
                intent.putExtra("app_package", packageName)
                intent.putExtra("app_uid", applicationInfo.uid)
                startActivityForResult(
                    intent,
                    0
                )
            }

WebView 系统隐藏接口漏洞检测

漏洞描述:
WebView 组件包含3个隐藏的系统接口,恶意程序可以利用它们实现远程代码执行。

修复建议:
使用 WebView.removeJavascriptInterface 删除 searchBoxJavaBridge_、accessibility、accessibilityTraversal 这三个隐藏接口。

修复方案:
1、在webview初始化进行设置

    private static void removeJsInterface(WebView webView) {
        webView.removeJavascriptInterface("searchBoxJavaBridge_");
        webView.removeJavascriptInterface("accessibility");
        webView.removeJavascriptInterface("accessibilityTraversal");
    }

2、通过Aspectj进行全局修复

@Around("call(* android.webkit.WebView.getSettings(..))")
    public Object fixWebViewBug(ProceedingJoinPoint joinPoint) throws Throwable {
        try {
            Object object = joinPoint.getTarget();
            WebView webView = (WebView) object;

            //移除隐藏接口
            webView.removeJavascriptInterface("searchBoxJavaBridge_");
            webView.removeJavascriptInterface("accessibility");
            webView.removeJavascriptInterface("accessibilityTraversal");
            return settings;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return joinPoint.proceed();
    }

WebView 明文存储密码漏洞检测

漏洞描述:
在使用 WebView 的过程中忽略了 WebSettings.setSavePassword 或调用了 WebSettings.setSavePassword(true),当用户选择保存在 WebView 中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据泄露。

修复建议:
使用WebView.getSettings().setSavePassword(false)来禁止保存密码。

修复方案:
1)在webview初始化进行设置

WebView.getSettings().setSavePassword(false)

2)通过Aspectj全局修复

@Around("call(* android.webkit.WebView.getSettings(..))")
    public Object fixWebViewBug(ProceedingJoinPoint joinPoint) throws Throwable {
        try {
            Object object = joinPoint.getTarget();
            WebView webView = (WebView) object;
            //禁用保存密码
            WebSettings settings = (WebSettings) joinPoint.proceed();
            settings.setSavePassword(false);
            return settings;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return joinPoint.proceed();
    }

ZIP 文件目录遍历漏洞检测

漏洞描述:
解压 ZIP 文件,没有对上级目录字符串进行过滤校验,可能导致被解压的文件发生目录跳转,解压到其他目录,并且覆盖相应的文件,最终导致任意代码执行。

修复建议:
解压 ZIP 文件时,判断文件名是否有 ../ 特殊字符;对重要的 ZIP 压缩
包文件进行校验,校验通过才进行解压。

修复方案:
解压缩ZIP格式文件时,注意验证其来源和完整性,并禁止解压目录遍历,例如:

static final int BUFFER = 512;
    static final int TOOBIG = 0x6400000; // upper limit of filesize, 100MB
    static final int TOOMANY = 1024; // upper limit of entries

    private String validateFilename(String filename, String intendedDir) {
         File f = new File(filename);
         String canonicalPath = f.getCanonicalPath();
         File iD = new File(intendedDir);
         String canonicalID = iD.getCanonicalPath();
         if (canonicalPath.startsWith(canonicalID)) {
         return canonicalPath;
         } else {
         throw new IllegalStateException("File is outside extraction target
        directory.");
         }
    }   

参考
Android 应用常见漏洞以及修复方案
[Android开发常见安全漏洞总结]
(https://blog.csdn.net/cufelsd/article/details/89484324?spm=1001.2101.3001.6650.17&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-17.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-17.no_search_link)

你可能感兴趣的:(Android静态安全检测漏洞修复)