查看: 2123|回复: 0

[Android教程] Activity组件安全(上)

发表于 2018-2-20 08:00:03

针对Activity组件安全,作为一个安卓开发者来讲需要在日常开发过程中注意两点:
- Activity访问权限的控制
- Activity被劫持

本篇文章将分享Activity访问权限控制方面的安全问题,首先科普下基础知识

研发基础知识 Activity分类

Activity类型和使用方式决定了其风险和防御方式,故将Activity分类如下: Private、Public、Parter、In-house

这里写图片描述

Intent简介

Android中提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android则根据此Intent的描述,负责找到对应的组件,将 Intent传递给调用的组件,并完成组件的调用。Intent不仅可用于应用程序之间,也可用于应用程序内部的Activity/Service之间的交互。因此,Intent在这里起着一个媒体中介的作用,专门提供组件互相调用的相关信息,实现调用者与被调用者之间的解耦。在SDK中给出了Intent作用的表现形式为:

  • 通过Context.startActivity() orActivity.startActivityForResult()
    启动一个Activity;
  • 通过 Context.startService() 启动一个服务,或者通过Context.bindService() 和后台服务交互;
  • 通过广播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
    Context.sendStickyBroadcast()) 发给broadcast receivers。

    Intent可分为隐式(implicitly)和显式(explicitly)两种:

(1)显式 Intent

即在构造Intent对象时就指定接收者,它一般用在知道目标组件名称的前提下,一般是在相同的应用程序内部实现的,如下:

  1. Intent intent = new Intent(MainActivit.this, NewActivity.class);
  2. startActivity(intent );
复制代码

上面那个intent中,直接指明了接收者:NewActivity

(2)隐式 Intent

即Intent的发送者在构造Intent对象时,并不知道也不关心接收者是谁,有利于降低发送者和接收者之间的耦合,它一般用在没有明确指出目标组件名称的前提下,一般是用于在不同应用程序之间,如下:

  1. Intent intent = new Intent();
  2. intent.setAction("com.wooyun.test");
  3. startActivity(intent);
复制代码

上面那个intent,没有指明接收者,只是给了一个action作为接收者的过滤条件。

对于显式Intent,Android不需要去做解析,因为目标组件已经很明确,Android需要解析的是那些隐式Intent,通过解析,将Intent映射给可以处理此Intent的Activity、IntentReceiver或Service。

android:exported属性

在Activity中该属性用来标示:当前Activity是否可以被外部程序启动:true允许被启动;false不允许被启动。这里的外部程序指的是签名不同、用户ID不同的程序,签名相同用户ID相同的程序在执行时桐乡同一个进程空间,批次之间是没有组件访问限制的。

该属性如果被设置为了false,那么这个Activity将只会被当前Application或者拥有同样用户ID的Application的组件调用。

exported 的默认值根据Activity中是否有intent filter来定。没有任何的filter意味着这个Activity只有在详细的描述了他的class name后才能被唤醒。这意味着这个Activity只能在应用内部使用,因为其它application并不知道这个class的存在。所以在这种情况下,它的默认值是false。从另一方面讲,如果Activity里面至少有一个filter的话,意味着这个Activity可以被其它应用从外部唤起,这个时候它的默认值是true。

android:protectionLevel属性

对于需要付费的操作以及可能涉及到用户隐私的操作,Android中提供android:protectionLevel属性,可以对一些访问进行了限制,如网络访问(需付费)以及获取联系人(涉及隐私)等。应用程序如果想要进行此类访问,则需要申请相应权限。Android对这些权限进行了四类分级,不同级别的权限对应不同的认证方式。

normal:默认值。低风险权限,只要申请了就可以使用,安装时不需要用户确认。

dangerous:像WRITE_SETTING和SEND_SMS等权限是有风险的,因为这些权限能够用来重新配置设备或者导致话费。使用此protectionLevel来标识用户可能关注的一些权限。Android将会在安装程序时,警示用户关于这些权限的需求,具体的行为可能依据Android版本或者所安装的移动设备而有所变化。

signature:这些权限仅授予那些和本程序应用了相同密钥来签名的程序。

signatureOrSystem:与signature类似,除了一点,系统中的程序也需要有资格来访问。这样允许定制Android系统应用也能获得权限,这种保护等级有助于集成系统编译过程。

Activity组件已知产生的安全问题
  1. 恶意调用页面
  2. 恶意接收数据
  3. 恶意发送广播、启动应用服务
  4. 调用组件,恶意接收组件返回的数据
乌云网漏洞报告实例

1快玩浏览器android客户端本地拒绝服务

2雪球android客户端本地拒绝服务漏洞

3Tencent Messenger(QQ) Dos vulnerability(critical)

4Tencent WeiBo multiple Dos vulnerabilities(critical)

5Android原生的Settings应用存在必现崩溃问题(可造成拒绝服务攻击) (涉及fragment)

6隐式启动intent包含敏感数据,攻击模型如下图:

这里写图片描述

研发人员该如何预防 private activity

私有Activity不应被其他应用启动且应该确保相对是安全的

关于Intent的使用
  • 谨慎处理接收的Intent以及其携带的信息
  • 当Activity返回数据时候需注意目标Activity是否有泄露信息的风险
  • 目标Activity十分明确时尽量使用显示启动
  • 谨慎处理Activity返回的数据,目的Activity返回的数据有可能是恶意应用伪造的
  • 验证目标Activity是否恶意app,以免受到Intent欺骗,可用hash签名验证
  • 尽可能的不发送敏感信息,应考虑到启动public Activity中Intent的信息均有可能被恶意应用窃取的风险
设置android:exported属性

不需要被外部程序调用的组件应该添加android:exported=”false”属性,这个属性说明它是私有的,只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。

  1. <activity
  2. android:name=".HomeActivity"
  3. android:label="@string/app_name"
  4. android:screenOrientation="portrait"
  5. android:exported="false">
复制代码
设置特定组件的访问权限

对于希望Activity能够被特定的外部程序访问,可以为其设置访问权限,具体做法有三种:

(1)组件添加android:permission属性。
  1. <activity android:name=".AnotherActivity"
  2. ndroid:label="@string/app_name"
  3. android:permission="com.wooyun.custempermission">
  4. </activity>
复制代码
(2)protectionLevel权限声明

exported属性只是用于限制Activity是否暴露给其他app,通过配置文件中的权限申明也可以限制外部启动activity

  1. <permission android:description="wooyun"
  2. android:label="wooyun"
  3. android:name="com.wooyun.custempermission"
  4. android:protectionLevel="normal">
  5. </permission>
复制代码

protectionLevel有四种级别normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem时,只有相同签名时才能调用。

(3)声明
  1. <uses-permission android:name="com.wooyun.custempermission" />
复制代码

总结 这样声明的Activity在被调用时,Android就会检查调用者是否具有com.wooyun.custempermission权限,如果没有就会触发SecurityException异常。

暴露组件的代码检查

Android 提供各种 API 来在运行时检查、执行、授予和撤销权限。这些 API是 android.content.Context 类的一部分,这个类提供有关应用程序环境的全局信息。

  1. if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")
  2. != PackageManager.PERMISSION_GRANTED) {
  3. // The Application requires permission to access the
  4. // Internet");
  5. } else {
  6. // OK to access the Internet
  7. }
复制代码
版权声明:本文为博主原创文章,未经博主允许不得转载;来自http://blog.csdn.net/mynameishuangshuai


回复

使用道具 举报