Activity組件是用戶唯一能看見的組件,作爲軟件所有功能的顯示載體,其安全性不言而喻。針對Activity組件安全,作爲一個安卓開發者來講需要在日常開發過程中注意兩點:
- Activity訪問權限的控制
- Activity被劫持
本篇文章將分享Activity訪問權限控制方面的安全問題,首先科普下基礎知識
研發基礎知識
Activity分類
Activity類型和使用方式決定了其風險和防禦方式,故將Activity分類如下: Private、Public、Parter、In-house
Intent簡介
Android中提供了Intent機制來協助應用間的交互與通訊,Intent負責對應用中一次操作的動作、動作涉及數據、附加數據進行描述,Android則根據此Intent的描述,負責找到對應的組件,將 Intent傳遞給調用的組件,並完成組件的調用。Intent不僅可用於應用程序之間,也可用於應用程序內部的Activity/Service之間的交互。因此,Intent在這裏起着一個媒體中介的作用,專門提供組件互相調用的相關信息,實現調用者與被調用者之間的解耦。在SDK中給出了Intent作用的表現形式爲:
- 通過Context.startActivity() orActivity.startActivityForResult()
啓動一個Activity; - 通過 Context.startService() 啓動一個服務,或者通過Context.bindService() 和後臺服務交互;
通過廣播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
Context.sendStickyBroadcast()) 發給broadcast receivers。Intent可分爲隱式(implicitly)和顯式(explicitly)兩種:
(1)顯式 Intent
即在構造Intent對象時就指定接收者,它一般用在知道目標組件名稱的前提下,一般是在相同的應用程序內部實現的,如下:
Intent intent = new Intent(MainActivit.this, NewActivity.class);
startActivity(intent ); 上面那個intent中,直接指明瞭接收者:NewActivity
(2)隱式 Intent
即Intent的發送者在構造Intent對象時,並不知道也不關心接收者是誰,有利於降低發送者和接收者之間的耦合,它一般用在沒有明確指出目標組件名稱的前提下,一般是用於在不同應用程序之間,如下:
Intent intent = new Intent();
intent.setAction("com.wooyun.test");
startActivity(intent);上面那個intent,沒有指明接收者,只是給了一個action作爲接收者的過濾條件。
對於顯式Intent,Android不需要去做解析,因爲目標組件已經很明確,Android需要解析的是那些隱式Intent,通過解析,將Intent映射給可以處理此Intent的Activity、IntentReceiver或Service。
android:exported屬性
在Activity中該屬性用來標示:當前Activity是否可以被外部程序啓動:true允許被啓動;false不允許被啓動。這裏的外部程序指的是簽名不同、用戶ID不同的程序,簽名相同用戶ID相同的程序在執行時桐鄉同一個進程空間,批次之間是沒有組件訪問限制的。
該屬性如果被設置爲了false,那麼這個Activity將只會被當前Application或者擁有同樣用戶ID的Application的組件調用。
exported 的默認值根據Activity中是否有intent filter來定。沒有任何的filter意味着這個Activity只有在詳細的描述了他的class name後才能被喚醒。這意味着這個Activity只能在應用內部使用,因爲其它application並不知道這個class的存在。所以在這種情況下,它的默認值是false。從另一方面講,如果Activity裏面至少有一個filter的話,意味着這個Activity可以被其它應用從外部喚起,這個時候它的默認值是true。
android:protectionLevel屬性
對於需要付費的操作以及可能涉及到用戶隱私的操作,Android中提供android:protectionLevel屬性,可以對一些訪問進行了限制,如網絡訪問(需付費)以及獲取聯繫人(涉及隱私)等。應用程序如果想要進行此類訪問,則需要申請相應權限。Android對這些權限進行了四類分級,不同級別的權限對應不同的認證方式。
normal:默認值。低風險權限,只要申請了就可以使用,安裝時不需要用戶確認。
dangerous:像WRITE_SETTING和SEND_SMS等權限是有風險的,因爲這些權限能夠用來重新配置設備或者導致話費。使用此protectionLevel來標識用戶可能關注的一些權限。Android將會在安裝程序時,警示用戶關於這些權限的需求,具體的行爲可能依據Android版本或者所安裝的移動設備而有所變化。
signature:這些權限僅授予那些和本程序應用了相同密鑰來簽名的程序。
signatureOrSystem:與signature類似,除了一點,系統中的程序也需要有資格來訪問。這樣允許定製Android系統應用也能獲得權限,這種保護等級有助於集成系統編譯過程。
Activity組件已知產生的安全問題
- 惡意調用頁面
- 惡意接收數據
- 惡意發送廣播、啓動應用服務
- 調用組件,惡意接收組件返回的數據
烏雲網漏洞報告實例
3Tencent Messenger(QQ) Dos vulnerability(critical)
4Tencent WeiBo multiple Dos vulnerabilities(critical)
5Android原生的Settings應用存在必現崩潰問題(可造成拒絕服務攻擊) (涉及fragment)
6隱式啓動intent包含敏感數據,攻擊模型如下圖:
研發人員該如何預防
private activity
私有Activity不應被其他應用啓動且應該確保相對是安全的
關於Intent的使用
- 謹慎處理接收的Intent以及其攜帶的信息
- 當Activity返回數據時候需注意目標Activity是否有泄露信息的風險
- 目標Activity十分明確時儘量使用顯示啓動
- 謹慎處理Activity返回的數據,目的Activity返回的數據有可能是惡意應用僞造的
- 驗證目標Activity是否惡意app,以免受到Intent欺騙,可用hash簽名驗證
- 儘可能的不發送敏感信息,應考慮到啓動public Activity中Intent的信息均有可能被惡意應用竊取的風險
設置android:exported屬性
不需要被外部程序調用的組件應該添加android:exported=”false”屬性,這個屬性說明它是私有的,只有同一個應用程序的組件或帶有相同用戶ID的應用程序才能啓動或綁定該服務。
<activity
android:name=".HomeActivity"
android:label="@string/app_name"
android:screenOrientation="portrait"
android:exported="false">設置特定組件的訪問權限
對於希望Activity能夠被特定的外部程序訪問,可以爲其設置訪問權限,具體做法有三種:
(1)組件添加android:permission屬性。
<activity android:name=".AnotherActivity"
ndroid:label="@string/app_name"
android:permission="com.wooyun.custempermission">
</activity>(2)protectionLevel權限聲明
exported屬性只是用於限制Activity是否暴露給其他app,通過配置文件中的權限申明也可以限制外部啓動activity
<permission android:description="wooyun"
android:label="wooyun"
android:name="com.wooyun.custempermission"
android:protectionLevel="normal">
</permission>protectionLevel有四種級別normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem時,只有相同簽名時才能調用。
(3)聲明
<uses-permission android:name="com.wooyun.custempermission" />總結 這樣聲明的Activity在被調用時,Android就會檢查調用者是否具有com.wooyun.custempermission權限,如果沒有就會觸發SecurityException異常。
暴露組件的代碼檢查
Android 提供各種 API 來在運行時檢查、執行、授予和撤銷權限。這些 API是 android.content.Context 類的一部分,這個類提供有關應用程序環境的全局信息。
if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")
!= PackageManager.PERMISSION_GRANTED) {
// The Application requires permission to access the
// Internet");
} else {
// OK to access the Internet
}
