Android研發安全-Activity元件安全(上)
Activity元件是使用者唯一能看見的元件,作為軟體所有功能的顯示載體,其安全性不言而喻。針對Activity元件安全,作為一個安卓開發者來講需要在日常開發過程中注意兩點:
- Activity訪問許可權的控制
- Activity被劫持
本篇文章將分享Activity訪問許可權控制方面的安全問題,首先科普下基礎知識
研發基礎知識
Activity分類
Activity型別和使用方式決定了其風險和防禦方式,故將Activity分類如下: Private、Public、Parter、In-house
Intent簡介
- 通過Context.startActivity() orActivity.startActivityForResult()
啟動一個Activity; - 通過 Context.startService() 啟動一個服務,或者通過Context.bindService() 和後臺服務互動;
通過廣播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
Context.sendStickyBroadcast()) 發給broadcast receivers。Intent可分為隱式(implicitly)和顯式(explicitly)兩種:
(1)顯式 Intent
即在構造Intent物件時就指定接收者,它一般用在知道目標元件名稱的前提下,一般是在相同的應用程式內部實現的,如下:
Intent intent = new Intent(MainActivit.this, NewActivity.class);
startActivity(intent ); - 1
- 2
- 1
- 2
上面那個intent中,直接指明瞭接收者:NewActivity
(2)隱式 Intent
即Intent的傳送者在構造Intent物件時,並不知道也不關心接收者是誰,有利於降低傳送者和接收者之間的耦合,它一般用在沒有明確指出目標元件名稱的前提下,一般是用於在不同應用程式之間,如下:
Intent intent = new Intent();
intent.setAction("com.wooyun.test");
startActivity(intent);- 1
- 2
- 3
- 1
- 2
- 3
上面那個intent,沒有指明接收者,只是給了一個action作為接收者的過濾條件。
對於顯式Intent,Android不需要去做解析,因為目標元件已經很明確,Android需要解析的是那些隱式Intent,通過解析,將Intent對映給可以處理此Intent的Activity、IntentReceiver或Service。
android:exported屬性
在Activity中該屬性用來標示:當前Activity是否可以被外部程式啟動:true允許被啟動;false不允許被啟動。這裡的外部程式指的是簽名不同、使用者ID不同的程式,簽名相同使用者ID相同的程式在執行時桐鄉同一個程序空間,批次之間是沒有元件訪問限制的。
該屬性如果被設定為了false,那麼這個Activity將只會被當前Application或者擁有同樣使用者ID的Application的元件呼叫。
exported 的預設值根據Activity中是否有intent filter來定。沒有任何的filter意味著這個Activity只有在詳細的描述了他的class name後才能被喚醒。這意味著這個Activity只能在應用內部使用,因為其它application並不知道這個class的存在。所以在這種情況下,它的預設值是false。從另一方面講,如果Activity裡面至少有一個filter的話,意味著這個Activity可以被其它應用從外部喚起,這個時候它的預設值是true。
android:protectionLevel屬性
對於需要付費的操作以及可能涉及到使用者隱私的操作,Android中提供android:protectionLevel屬性,可以對一些訪問進行了限制,如網路訪問(需付費)以及獲取聯絡人(涉及隱私)等。應用程式如果想要進行此類訪問,則需要申請相應許可權。Android對這些許可權進行了四類分級,不同級別的許可權對應不同的認證方式。
normal:預設值。低風險許可權,只要申請了就可以使用,安裝時不需要使用者確認。
dangerous:像WRITE_SETTING和SEND_SMS等許可權是有風險的,因為這些許可權能夠用來重新配置裝置或者導致話費。使用此protectionLevel來標識使用者可能關注的一些許可權。Android將會在安裝程式時,警示使用者關於這些許可權的需求,具體的行為可能依據Android版本或者所安裝的移動裝置而有所變化。
signature:這些許可權僅授予那些和本程式應用了相同金鑰來簽名的程式。
signatureOrSystem:與signature類似,除了一點,系統中的程式也需要有資格來訪問。這樣允許定製Android系統應用也能獲得許可權,這種保護等級有助於整合系統編譯過程。
Activity元件已知產生的安全問題
- 惡意呼叫頁面
- 惡意接收資料
- 惡意傳送廣播、啟動應用服務
- 呼叫元件,惡意接收元件返回的資料
烏雲網漏洞報告例項
6隱式啟動intent包含敏感資料,攻擊模型如下圖:
研發人員該如何預防
private activity
私有Activity不應被其他應用啟動且應該確保相對是安全的
關於Intent的使用
- 謹慎處理接收的Intent以及其攜帶的資訊
- 當Activity返回資料時候需注意目標Activity是否有洩露資訊的風險
- 目標Activity十分明確時儘量使用顯示啟動
- 謹慎處理Activity返回的資料,目的Activity返回的資料有可能是惡意應用偽造的
- 驗證目標Activity是否惡意app,以免受到Intent欺騙,可用hash簽名驗證
- 儘可能的不傳送敏感資訊,應考慮到啟動public Activity中Intent的資訊均有可能被惡意應用竊取的風險
設定android:exported屬性
不需要被外部程式呼叫的元件應該新增android:exported=”false”屬性,這個屬性說明它是私有的,只有同一個應用程式的元件或帶有相同使用者ID的應用程式才能啟動或繫結該服務。
<activityandroid:name=".HomeActivity"android:label="@string/app_name"android:screenOrientation="portrait"android:exported="false">- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
設定特定元件的訪問許可權
對於希望Activity能夠被特定的外部程式訪問,可以為其設定訪問許可權,具體做法有三種:
(1)元件新增android:permission屬性。
<activityandroid:name=".AnotherActivity"ndroid:label="@string/app_name"android:permission="com.wooyun.custempermission">
</activity>- 1
- 2
- 3
- 4
- 1
- 2
- 3
- 4
(2)protectionLevel許可權宣告
exported屬性只是用於限制Activity是否暴露給其他app,通過配置檔案中的許可權申明也可以限制外部啟動activity
<permissionandroid:description="wooyun"android:label="wooyun"android:name="com.wooyun.custempermission"android:protectionLevel="normal">
</permission>- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
protectionLevel有四種級別normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem時,只有相同簽名時才能呼叫。
(3)宣告
<uses-permissionandroid:name="com.wooyun.custempermission" />- 1
- 1
總結 這樣宣告的Activity在被呼叫時,Android就會檢查呼叫者是否具有com.wooyun.custempermission許可權,如果沒有就會觸發SecurityException異常。
暴露元件的程式碼檢查
Android 提供各種 API 來在執行時檢查、執行、授予和撤銷許可權。這些 API是 android.content.Context 類的一部分,這個類提供有關應用程式環境的全域性資訊。
if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")
!= PackageManager.PERMISSION_GRANTED) {
// The Application requires permission to access the
// Internet");
} else {
// OK to access the Internet
}- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 1
- 2
- 3
- 4
- 5
- 6
- 7