Activity组件安全(上)
针对Activity组件安全,作为一个安卓开发者来讲需要在日常开发过程中注意两点:
- Activity访问权限的控制
- Activity被劫持
本篇文章将分享Activity访问权限控制方面的安全问题,首先科普下基础知识
研发基础知识
Activity分类
Activity类型和使用方式决定了其风险和防御方式,故将Activity分类如下: Private、Public、Parter、In-house
Intent简介
Android中提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android则根据此Intent的描述,负责找到对应的组件,将 Intent传递给调用的组件,并完成组件的调用。Intent不仅可用于应用程序之间,也可用于应用程序内部的Activity/Service之间的交互。因此,Intent在这里起着一个媒体中介的作用,专门提供组件互相调用的相关信息,实现调用者与被调用者之间的解耦。在SDK中给出了Intent作用的表现形式为:
- 通过Context.startActivity() orActivity.startActivityForResult()
启动一个Activity; - 通过 Context.startService() 启动一个服务,或者通过Context.bindService() 和后台服务交互;
-
通过广播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
Context.sendStickyBroadcast()) 发给broadcast receivers。Intent可分为隐式(implicitly)和显式(explicitly)两种:
(1)显式 Intent
即在构造Intent对象时就指定接收者,它一般用在知道目标组件名称的前提下,一般是在相同的应用程序内部实现的,如下:
Intent intent = new Intent(MainActivit.this, NewActivity.class); startActivity(intent );
上面那个intent中,直接指明了接收者:NewActivity
(2)隐式 Intent
即Intent的发送者在构造Intent对象时,并不知道也不关心接收者是谁,有利于降低发送者和接收者之间的耦合,它一般用在没有明确指出目标组件名称的前提下,一般是用于在不同应用程序之间,如下:
Intent intent = new Intent(); intent.setAction("com.wooyun.test"); startActivity(intent);
上面那个intent,没有指明接收者,只是给了一个action作为接收者的过滤条件。
对于显式Intent,Android不需要去做解析,因为目标组件已经很明确,Android需要解析的是那些隐式Intent,通过解析,将Intent映射给可以处理此Intent的Activity、IntentReceiver或Service。
android:exported属性
在Activity中该属性用来标示:当前Activity是否可以被外部程序启动:true允许被启动;false不允许被启动。这里的外部程序指的是签名不同、用户ID不同的程序,签名相同用户ID相同的程序在执行时桐乡同一个进程空间,批次之间是没有组件访问限制的。
该属性如果被设置为了false,那么这个Activity将只会被当前Application或者拥有同样用户ID的Application的组件调用。
exported 的默认值根据Activity中是否有intent filter来定。没有任何的filter意味着这个Activity只有在详细的描述了他的class name后才能被唤醒。这意味着这个Activity只能在应用内部使用,因为其它application并不知道这个class的存在。所以在这种情况下,它的默认值是false。从另一方面讲,如果Activity里面至少有一个filter的话,意味着这个Activity可以被其它应用从外部唤起,这个时候它的默认值是true。
android:protectionLevel属性
对于需要付费的操作以及可能涉及到用户隐私的操作,Android中提供android:protectionLevel属性,可以对一些访问进行了限制,如网络访问(需付费)以及获取联系人(涉及隐私)等。应用程序如果想要进行此类访问,则需要申请相应权限。Android对这些权限进行了四类分级,不同级别的权限对应不同的认证方式。
normal:默认值。低风险权限,只要申请了就可以使用,安装时不需要用户确认。
dangerous:像WRITE_SETTING和SEND_SMS等权限是有风险的,因为这些权限能够用来重新配置设备或者导致话费。使用此protectionLevel来标识用户可能关注的一些权限。Android将会在安装程序时,警示用户关于这些权限的需求,具体的行为可能依据Android版本或者所安装的移动设备而有所变化。
signature:这些权限仅授予那些和本程序应用了相同密钥来签名的程序。
signatureOrSystem:与signature类似,除了一点,系统中的程序也需要有资格来访问。这样允许定制Android系统应用也能获得权限,这种保护等级有助于集成系统编译过程。
Activity组件已知产生的安全问题
- 恶意调用页面
- 恶意接收数据
- 恶意发送广播、启动应用服务
- 调用组件,恶意接收组件返回的数据
乌云网漏洞报告实例
3Tencent Messenger(QQ) Dos vulnerability(critical)
4Tencent WeiBo multiple Dos vulnerabilities(critical)
5Android原生的Settings应用存在必现崩溃问题(可造成拒绝服务攻击) (涉及fragment)
6隐式启动intent包含敏感数据,攻击模型如下图:
研发人员该如何预防
private activity
私有Activity不应被其他应用启动且应该确保相对是安全的
关于Intent的使用
- 谨慎处理接收的Intent以及其携带的信息
- 当Activity返回数据时候需注意目标Activity是否有泄露信息的风险
- 目标Activity十分明确时尽量使用显示启动
- 谨慎处理Activity返回的数据,目的Activity返回的数据有可能是恶意应用伪造的
- 验证目标Activity是否恶意app,以免受到Intent欺骗,可用hash签名验证
- 尽可能的不发送敏感信息,应考虑到启动public Activity中Intent的信息均有可能被恶意应用窃取的风险
设置android:exported属性
不需要被外部程序调用的组件应该添加android:exported=”false”属性,这个属性说明它是私有的,只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。
<activity android:name=".HomeActivity" android:label="@string/app_name" android:screenOrientation="portrait" android:exported="false">
设置特定组件的访问权限
对于希望Activity能够被特定的外部程序访问,可以为其设置访问权限,具体做法有三种:
(1)组件添加android:permission属性。
<activity android:name=".AnotherActivity" ndroid:label="@string/app_name" android:permission="com.wooyun.custempermission"> </activity>
(2)protectionLevel权限声明
exported属性只是用于限制Activity是否暴露给其他app,通过配置文件中的权限申明也可以限制外部启动activity
<permission android:description="wooyun" android:label="wooyun" android:name="com.wooyun.custempermission" android:protectionLevel="normal"> </permission>
protectionLevel有四种级别normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem时,只有相同签名时才能调用。
(3)声明
<uses-permission android:name="com.wooyun.custempermission" />
总结 这样声明的Activity在被调用时,Android就会检查调用者是否具有com.wooyun.custempermission权限,如果没有就会触发SecurityException异常。
暴露组件的代码检查
Android 提供各种 API 来在运行时检查、执行、授予和撤销权限。这些 API是 android.content.Context 类的一部分,这个类提供有关应用程序环境的全局信息。
if (context.checkCallingOrSelfPermission("com.wooyun.custempermission") != PackageManager.PERMISSION_GRANTED) { // The Application requires permission to access the // Internet"); } else { // OK to access the Internet }