Android應(yīng)用會(huì)遇到各種各樣的漏洞，如何從細(xì)節(jié)上了解各種安全隱患，積極采取適當(dāng)?shù)姆烙胧┍阕兊糜葹橹匾榱俗尨蠹覍?duì)Android漏洞有一個(gè)非常全面的認(rèn)識(shí)，小編專門邀請(qǐng)資深安全工程師為大家詳細(xì)解讀常見的Android漏洞，僅供參考。

第一大類：Android Manifest配置相關(guān)的風(fēng)險(xiǎn)或漏洞

1、程序可被任意調(diào)試

風(fēng)險(xiǎn)詳情：安卓應(yīng)用apk配置文件Android Manifest.xml中android:debuggable=true，調(diào)試開關(guān)被打開。

危害情況：App可以被調(diào)試。

修復(fù)建議：把Android Manifest.xml配置文件中調(diào)試開關(guān)屬性關(guān)掉，即設(shè)置android:Debugable="false"。

2、程序數(shù)據(jù)任意備份

風(fēng)險(xiǎn)詳情：安卓應(yīng)用apk配置文件AndroidManifest.xml中android:allowBackup=true，數(shù)據(jù)備份開關(guān)被打開。

危害情況：App應(yīng)用數(shù)據(jù)可被備份導(dǎo)出。

修復(fù)建議：把AndroidManifest.xml配置文件備份開關(guān)關(guān)掉，即設(shè)置android:allowBackup="false"。

組件暴露：建議使用android:protectionLevel="signature"驗(yàn)證調(diào)用來源。

3、Activity組件暴露

風(fēng)險(xiǎn)詳情：Activity組件的屬性exported被設(shè)置為true或是未設(shè)置exported值但I(xiàn)ntentFilter不為空時(shí)，activity被認(rèn)為是導(dǎo)出的，可通過設(shè)置相應(yīng)的Intent喚起activity。

危害情況：黑客可能構(gòu)造惡意數(shù)據(jù)針對(duì)導(dǎo)出activity組件實(shí)施越權(quán)攻擊。

修復(fù)建議：如果組件不需要與其他App共享數(shù)據(jù)或交互，請(qǐng)將AndroidManifest.xml 配置文件中設(shè)置該組件為exported = “False”。如果組件需要與其他App共享數(shù)據(jù)或交互， 請(qǐng)對(duì)組件進(jìn)行權(quán)限控制和參數(shù)校驗(yàn)。

4、Service組件暴露

風(fēng)險(xiǎn)詳情：Service組件的屬性exported被設(shè)置為true或是未設(shè)置exported值但I(xiàn)ntentFilter不為空時(shí)，Service被認(rèn)為是導(dǎo)出的，可通過設(shè)置相應(yīng)的Intent喚起Service。

危害情況：黑客可能構(gòu)造惡意數(shù)據(jù)針對(duì)導(dǎo)出Service組件實(shí)施越權(quán)攻擊。

修復(fù)建議：如果組件不需要與其他App共享數(shù)據(jù)或交互，請(qǐng)將AndroidManifest.xml 配置文件中設(shè)置該組件為exported = “False”。如果組件需要與其他App共享數(shù)據(jù)或交互， 請(qǐng)對(duì)組件進(jìn)行權(quán)限控制和參數(shù)校驗(yàn)。

5、ContentProvider組件暴露

風(fēng)險(xiǎn)詳情：Content Provider組件的屬性exported被設(shè)置為true或是Android API<=16時(shí)，Content Provider被認(rèn)為是導(dǎo)出的。

危害情況：黑客可能訪問到應(yīng)用本身不想共享的數(shù)據(jù)或文件。

修復(fù)建議：如果組件不需要與其他App共享數(shù)據(jù)或交互，請(qǐng)將AndroidManifest.xml 配置文件中設(shè)置該組件為exported = “False”。如果組件需要與其他App共享數(shù)據(jù)或交互， 請(qǐng)對(duì)組件進(jìn)行權(quán)限控制和參數(shù)校驗(yàn)。

6、BroadcastReceiver組件暴露

風(fēng)險(xiǎn)詳情：BroadcastReceiver組件的屬性exported被設(shè)置為true或是未設(shè)置exported值但I(xiàn)ntentFilter不為空時(shí)，BroadcastReceiver被認(rèn)為是導(dǎo)出的。

危害情況：導(dǎo)出的廣播可以導(dǎo)致數(shù)據(jù)泄漏或者是越權(quán)。

修復(fù)建議：如果組件不需要與其他App共享數(shù)據(jù)或交互，請(qǐng)將AndroidManifest.xml 配置文件中設(shè)置該組件為exported = “False”。如果組件需要與其他App共享數(shù)據(jù)或交互， 請(qǐng)對(duì)組件進(jìn)行權(quán)限控制和參數(shù)校驗(yàn)。

7、Intent Scheme URLs攻擊

風(fēng)險(xiǎn)詳情：在AndroidManifast.xml設(shè)置Scheme協(xié)議之后，可以通過瀏覽器打開對(duì)應(yīng)的Activity。

危害情況：攻擊者通過訪問瀏覽器構(gòu)造Intent語法喚起App相應(yīng)組件，輕則引起拒絕服務(wù)，重則可能演變對(duì)App進(jìn)行越權(quán)調(diào)用甚至升級(jí)為提權(quán)漏洞。

修復(fù)建議：App對(duì)外部調(diào)用過程和傳輸數(shù)據(jù)進(jìn)行安全檢查或檢驗(yàn)，配置category filter, 添加android.intent.category.BROWSABLE方式規(guī)避風(fēng)險(xiǎn)

第二大類：WebView組件及與服務(wù)器通信相關(guān)的風(fēng)險(xiǎn)或漏洞

1、Webview存在本地Java接口

風(fēng)險(xiǎn)詳情：android的webView組件有一個(gè)非常特殊的接口函數(shù)addJavascriptInterface，能實(shí)現(xiàn)本地java與js之間交互。

危害情況：在targetSdkVersion小于17時(shí)，攻擊者利用addJavascriptInterface這個(gè)接口添加的函數(shù)，可以遠(yuǎn)程執(zhí)行任意代碼。

修復(fù)建議：建議開發(fā)者不要使用addJavascriptInterface，使用注入javascript和第三方協(xié)議的替代方案。

2、Webview組件遠(yuǎn)程代碼執(zhí)行（調(diào)用getClassLoader）

風(fēng)險(xiǎn)詳情：使用低于17的targetSDKVersion，并且在Context子類中使用addJavascriptInterface綁定this對(duì)象。

危害情況：通過調(diào)用getClassLoader可以繞過google底層對(duì)getClass方法的限制。

修復(fù)建議：targetSDKVersion使用大于17的版本。

3、WebView忽略SSL證書錯(cuò)誤

風(fēng)險(xiǎn)詳情：WebView調(diào)用onReceivedSslError方法時(shí)，直接執(zhí)行handler.proceed()來忽略該證書錯(cuò)誤。

危害情況：忽略SSL證書錯(cuò)誤可能引起中間人攻擊。

修復(fù)建議：不要重寫onReceivedSslError方法， 或者對(duì)于SSL證書錯(cuò)誤問題按照業(yè)務(wù)場(chǎng)景判斷，避免造成數(shù)據(jù)明文傳輸情況。

4、webview啟用訪問文件數(shù)據(jù)

風(fēng)險(xiǎn)詳情：Webview中使用setAllowFileAccess(true)，App可通過webview訪問私有目錄下的文件數(shù)據(jù)。

危害情況：在Android中，mWebView.setAllowFileAccess(true)為默認(rèn)設(shè)置。當(dāng)setAllowFileAccess(true)時(shí)，在File域下，可執(zhí)行任意的JavaScript代碼，如果繞過同源策略能夠?qū)λ接心夸浳募M(jìn)行訪問，導(dǎo)致用戶隱私泄漏。

修復(fù)建議：使用WebView.getSettings().setAllowFileAccess(false)來禁止訪問私有文件數(shù)據(jù)。

5、SSL通信服務(wù)端檢測(cè)信任任意證書

風(fēng)險(xiǎn)詳情：自定義SSL x509 TrustManager，重寫checkServerTrusted方法，方法內(nèi)不做任何服務(wù)端的證書校驗(yàn)。

危害情況：黑客可以使用中間人攻擊獲取加密內(nèi)容。

修復(fù)建議：嚴(yán)格判斷服務(wù)端和客戶端證書校驗(yàn)，對(duì)于異常事件禁止return 空或者null。

6、HTTPS關(guān)閉主機(jī)名驗(yàn)證

風(fēng)險(xiǎn)詳情：構(gòu)造HttpClient時(shí)，設(shè)置HostnameVerifier時(shí)參數(shù)使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。

危害情況：關(guān)閉主機(jī)名校驗(yàn)可以導(dǎo)致黑客使用中間人攻擊獲取加密內(nèi)容。

修復(fù)建議：APP在使用SSL時(shí)沒有對(duì)證書的主機(jī)名進(jìn)行校驗(yàn)，信任任意主機(jī)名下的合法的證書，導(dǎo)致加密通信可被還原成明文通信，加密傳輸遭到破壞。

7、SSL通信客戶端檢測(cè)信任任意證書

風(fēng)險(xiǎn)詳情：自定義SSL x509 TrustManager，重寫checkClientTrusted方法，方法內(nèi)不做任何服務(wù)端的證書校驗(yàn)。

危害情況：黑客可以使用中間人攻擊獲取加密內(nèi)容。

修復(fù)建議：嚴(yán)格判斷服務(wù)端和客戶端證書校驗(yàn)，對(duì)于異常事件禁止return 空或者null。

8、開放socket端口

風(fēng)險(xiǎn)詳情：App綁定端口進(jìn)行監(jiān)聽，建立連接后可接收外部發(fā)送的數(shù)據(jù)。

危害情況：攻擊者可構(gòu)造惡意數(shù)據(jù)對(duì)端口進(jìn)行測(cè)試，對(duì)于綁定了IP 0.0.0.0的App可發(fā)起遠(yuǎn)程攻擊。

修復(fù)建議：如無必要，只綁定本地ip127.0.0.1，并且對(duì)接收的數(shù)據(jù)進(jìn)行過濾、驗(yàn)證。

第三大類：數(shù)據(jù)安全風(fēng)險(xiǎn)

1、數(shù)據(jù)存儲(chǔ)

SD卡數(shù)據(jù)被第三方程序訪問

漏洞描述：發(fā)現(xiàn)調(diào)用getExternalStorageDirectory，存儲(chǔ)內(nèi)容到SD卡可以被任意程序訪問，存在安全隱患。

安全建議：建議存儲(chǔ)敏感信息到程序私有目錄，并對(duì)敏感數(shù)據(jù)加密

全局File可讀寫漏洞-openFileOutput

風(fēng)險(xiǎn)詳情：openFileOutput(String name,int mode)方法創(chuàng)建內(nèi)部文件時(shí)，將文件設(shè)置了全局的可讀權(quán)限MODE_WORLD_READABLE。

危害情況：攻擊者惡意讀取文件內(nèi)容，獲取敏感信息。

修復(fù)建議：請(qǐng)開發(fā)者確認(rèn)該文件是否存儲(chǔ)敏感數(shù)據(jù)，如存在相關(guān)數(shù)據(jù)，請(qǐng)去掉文件全局可讀屬性。

全局文件可寫

風(fēng)險(xiǎn)詳情：openFileOutput(String name,int mode)方法創(chuàng)建內(nèi)部文件時(shí)，將文件設(shè)置了全局的可寫權(quán)限MODE_WORLD_WRITEABLE。

危害情況：攻擊者惡意寫文件內(nèi)容破壞APP的完整性。

修復(fù)建議：請(qǐng)開發(fā)者確認(rèn)該文件是否存儲(chǔ)敏感數(shù)據(jù)，如存在相關(guān)數(shù)據(jù)，請(qǐng)去掉文件全局可寫屬性。

全局文件可讀可寫

風(fēng)險(xiǎn)詳情：openFileOutput(String name,int mode)方法創(chuàng)建內(nèi)部文件時(shí)，將文件設(shè)置了全局的可讀寫權(quán)限。

危害情況：攻擊者惡意寫文件內(nèi)容或者，破壞APP的完整性，或者是攻擊者惡意讀取文件內(nèi)容，獲取敏感信息。

修復(fù)建議：請(qǐng)開發(fā)者確認(rèn)該文件是否存儲(chǔ)敏感數(shù)據(jù)，如存在相關(guān)數(shù)據(jù)，請(qǐng)去掉文件全局可寫、寫屬性。

2、私有文件泄露風(fēng)險(xiǎn)-getSharedPreferences

配置文件可讀

風(fēng)險(xiǎn)詳情：使用getSharedPreferences打開文件時(shí)第二個(gè)參數(shù)設(shè)置為MODE_WORLD_READABLE。

危害情況：文件可以被其他應(yīng)用讀取導(dǎo)致信息泄漏。

修復(fù)建議：如果必須設(shè)置為全局可讀模式供其他程序使用，請(qǐng)保證存儲(chǔ)的數(shù)據(jù)非隱私數(shù)據(jù)或是加密后存儲(chǔ)。

配置文件可寫

風(fēng)險(xiǎn)詳情：使用getSharedPreferences打開文件時(shí)第二個(gè)參數(shù)設(shè)置為MODE_WORLD_WRITEABLE。

危害情況：文件可以被其他應(yīng)用寫入導(dǎo)致文件內(nèi)容被篡改，可能導(dǎo)致影響應(yīng)用程序的正常運(yùn)行或更嚴(yán)重的問題。

修復(fù)建議：使用getSharedPreferences時(shí)第二個(gè)參數(shù)設(shè)置為MODE_PRIVATE即可。

配置文件可讀可寫

風(fēng)險(xiǎn)詳情：使用getSharedPreferences打開文件時(shí)，如將第二個(gè)參數(shù)設(shè)置為MODE_WORLD_READABLE 或MODE_WORLD_WRITEABLE。

危害情況：當(dāng)前文件可以被其他應(yīng)用讀取和寫入，導(dǎo)致信息泄漏、文件內(nèi)容被篡改，影響應(yīng)用程序的正常運(yùn)行或更嚴(yán)重的問題。

修復(fù)建議：使用getSharedPreferences時(shí)第二個(gè)參數(shù)設(shè)置為MODE_PRIVATE。禁止使用MODE_WORLD_READABLE | MODE_WORLD_WRITEABLE模式。

3、數(shù)據(jù)加密

明文數(shù)字證書漏洞：

Apk使用的數(shù)字證書可被用來校驗(yàn)服務(wù)器的合法身份，以及在與服務(wù)器進(jìn)行通信的過程中對(duì)傳輸數(shù)據(jù)進(jìn)行加密、解密運(yùn)算，保證傳輸數(shù)據(jù)的保密性、完整性。

明文存儲(chǔ)的數(shù)字證書如果被篡改，客戶端可能連接到假冒的服務(wù)端上，導(dǎo)致用戶名、密碼等信息被竊?。蝗绻魑淖C書被盜取，可能造成傳輸數(shù)據(jù)被截獲解密，用戶信息泄露，或者偽造客戶端向服務(wù)器發(fā)送請(qǐng)求，篡改服務(wù)器中的用戶數(shù)據(jù)或造成服務(wù)器響應(yīng)異常。

AES弱加密

風(fēng)險(xiǎn)詳情：在AES加密時(shí)，使用“AES/ECB/NoPadding”或“AES/ECB/PKCS5padding”的模式。

危害情況：ECB是將文件分塊后對(duì)文件塊做同一加密，破解加密只需要針對(duì)一個(gè)文件塊進(jìn)行解密，降低了破解難度和文件安全性。

修復(fù)建議：禁止使用AES加密的ECB模式，顯式指定加密算法為：CBC或CFB模式，可帶上PKCS5Padding填充。AES密鑰長(zhǎng)度最少是128位，推薦使用256位。

隨機(jī)數(shù)不安全使用

風(fēng)險(xiǎn)詳情：調(diào)用SecureRandom類中的setSeed方法。

危害情況：生成的隨機(jī)數(shù)具有確定性，存在被破解的可能性。

修復(fù)建議：用/dev/urandom或/dev/random來初始化偽隨機(jī)數(shù)生成器。

AES/DES硬編碼密鑰

風(fēng)險(xiǎn)詳情：使用AES或DES加解密時(shí)，密鑰采用硬編碼在程序中。

危害情況：通過反編譯獲取密鑰可以輕易解密APP通信數(shù)據(jù)。

修復(fù)建議：密鑰加密存儲(chǔ)或變形后進(jìn)行加解密運(yùn)算，不要硬編碼到代碼中。

數(shù)據(jù)傳輸：與上面的重復(fù)了，也可以把webview系列的漏洞歸入這一小類。

第四大類：文件目錄遍歷類漏洞

1、Provider文件目錄遍歷

風(fēng)險(xiǎn)詳情：當(dāng)Provider被導(dǎo)出且覆寫了openFile方法時(shí)，沒有對(duì)Content Query Uri進(jìn)行有效判斷或過濾。

危害情況：攻擊者可以利用openFile()接口進(jìn)行文件目錄遍歷以達(dá)到訪問任意可讀文件的目的。

修復(fù)建議：一般情況下無需覆寫openFile方法，如果必要，對(duì)提交的參數(shù)進(jìn)行“../”目錄跳轉(zhuǎn)符或其他安全校驗(yàn)。

2、unzip解壓縮漏洞

風(fēng)險(xiǎn)詳情：解壓zip文件，使用getName()獲取壓縮文件名后未對(duì)名稱進(jìn)行校驗(yàn)。

危害情況：攻擊者可構(gòu)造惡意zip文件，被解壓的文件將會(huì)進(jìn)行目錄跳轉(zhuǎn)被解壓到其他目錄，覆蓋相應(yīng)文件導(dǎo)致任意代碼執(zhí)行。

修復(fù)建議：解壓文件時(shí)，判斷文件名是否有../特殊字符。

第五大類：文件格式解析類漏洞

1、FFmpeg文件讀取

風(fēng)險(xiǎn)詳情：使用了低版本的FFmpeg庫進(jìn)行視頻解碼。

危害情況：在FFmpeg的某些版本中可能存在本地文件讀取漏洞，可以通過構(gòu)造惡意文件獲取本地文件內(nèi)容。

修復(fù)建議：升級(jí)FFmpeg庫到最新版。

2、安卓“Janus”漏洞

漏洞詳情：向原始的App APK的前部添加一個(gè)攻擊的classes.dex文件(A文件)，安卓系統(tǒng)在校驗(yàn)時(shí)計(jì)算了A文件的hash值，并以”classes.dex”字符串做為key保存， 然后安卓計(jì)算原始的classes.dex文件（B），并再次以”classes.dex”字符串做為key保存，這次保存會(huì)覆蓋掉A文件的hash值，導(dǎo)致Android系統(tǒng)認(rèn)為APK沒有被修改，完成安裝，APK程序運(yùn)行時(shí)，系統(tǒng)優(yōu)先以先找到的A文件執(zhí)行，忽略了B，導(dǎo)致漏洞的產(chǎn)生。

危害情況：該漏洞可以讓攻擊者繞過安卓系統(tǒng)的signature scheme V1簽名機(jī)制，進(jìn)而直接對(duì)App進(jìn)行篡改。而且由于安卓系統(tǒng)的其他安全機(jī)制也是建立在簽名和校驗(yàn)基礎(chǔ)之上，該漏洞相當(dāng)于繞過了安卓系統(tǒng)的整個(gè)安全機(jī)制。

修復(fù)建議：禁止安裝有多個(gè)同名ZipEntry的APK文件。

第六大類：內(nèi)存堆棧類漏洞

1、未使用編譯器堆棧保護(hù)技術(shù)

風(fēng)險(xiǎn)詳情：為了檢測(cè)棧中的溢出，引入了Stack Canaries漏洞緩解技術(shù)。在所有函數(shù)調(diào)用發(fā)生時(shí)，向棧幀內(nèi)壓入一個(gè)額外的被稱作canary的隨機(jī)數(shù)，當(dāng)棧中發(fā)生溢出時(shí)，canary將被首先覆蓋，之后才是EBP和返回地址。在函數(shù)返回之前，系統(tǒng)將執(zhí)行一個(gè)額外的安全驗(yàn)證操作，將棧幀中原先存放的canary和.data中副本的值進(jìn)行比較，如果兩者不吻合，說明發(fā)生了棧溢出。

危害情況：不使用Stack Canaries棧保護(hù)技術(shù)，發(fā)生棧溢出時(shí)系統(tǒng)并不會(huì)對(duì)程序進(jìn)行保護(hù)。

修復(fù)建議：使用NDK編譯so時(shí)，在Android.mk文件中添加：LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all

2、未使用地址空間隨機(jī)化技術(shù)

風(fēng)險(xiǎn)詳情：PIE全稱Position Independent Executables，是一種地址空間隨機(jī)化技術(shù)。當(dāng)so被加載時(shí)，在內(nèi)存里的地址是隨機(jī)分配的。

危害情況：不使用PIE，將會(huì)使得shellcode的執(zhí)行難度降低，攻擊成功率增加。

修復(fù)建議：NDK編譯so時(shí)，加入LOCAL_CFLAGS := -fpie -pie開啟對(duì)PIE的支持。

3、libupnp棧溢出漏洞

風(fēng)險(xiǎn)詳情：使用了低于1.6.18版本的libupnp庫文件。

危害情況：構(gòu)造惡意數(shù)據(jù)包可造成緩沖區(qū)溢出，造成代碼執(zhí)行。

修復(fù)建議：升級(jí)libupnp庫到1.6.18版本或以上。

第七大類：動(dòng)態(tài)類漏洞

1、DEX文件動(dòng)態(tài)加載

風(fēng)險(xiǎn)詳情：使用DexClassLoader加載外部的apk、jar 或dex文件，當(dāng)外部文件的來源無法控制時(shí)或是被篡改，此時(shí)無法保證加載的文件是否安全。

危害情況：加載惡意的dex文件將會(huì)導(dǎo)致任意命令的執(zhí)行。

修復(fù)建議：加載外部文件前，必須使用校驗(yàn)簽名或MD5等方式確認(rèn)外部文件的安全性。

2、動(dòng)態(tài)注冊(cè)廣播

風(fēng)險(xiǎn)詳情：使用registerReceiver動(dòng)態(tài)注冊(cè)的廣播在組件的生命周期里是默認(rèn)導(dǎo)出的。

危害情況：導(dǎo)出的廣播可以導(dǎo)致拒絕服務(wù)、數(shù)據(jù)泄漏或是越權(quán)調(diào)用。

修復(fù)建議：使用帶權(quán)限檢驗(yàn)的registerReceiver API進(jìn)行動(dòng)態(tài)廣播的注冊(cè)。

第八大類：校驗(yàn)或限定不嚴(yán)導(dǎo)致的風(fēng)險(xiǎn)或漏洞

1、Fragment注入

風(fēng)險(xiǎn)詳情：通過導(dǎo)出的PreferenceActivity的子類，沒有正確處理Intent的extra值。

危害情況：攻擊者可繞過限制訪問未授權(quán)的界面。

修復(fù)建議：當(dāng)targetSdk大于等于19時(shí)，強(qiáng)制實(shí)現(xiàn)了isValidFragment方法；小于19時(shí)，在PreferenceActivity的子類中都要加入isValidFragment ，兩種情況下在isValidFragment方法中進(jìn)行fragment名的合法性校驗(yàn)。

2、隱式意圖調(diào)用

風(fēng)險(xiǎn)詳情：封裝Intent時(shí)采用隱式設(shè)置，只設(shè)定action，未限定具體的接收對(duì)象，導(dǎo)致Intent可被其他應(yīng)用獲取并讀取其中數(shù)據(jù)。

危害情況：Intent隱式調(diào)用發(fā)送的意圖可被第三方劫持，導(dǎo)致內(nèi)部隱私數(shù)據(jù)泄露。

修復(fù)建議：可將隱式調(diào)用改為顯式調(diào)用。

第九大類：命令行調(diào)用類相關(guān)的風(fēng)險(xiǎn)或漏洞

1、動(dòng)態(tài)鏈接庫中包含執(zhí)行命令函數(shù)：

風(fēng)險(xiǎn)詳情：在native程序中，有時(shí)需要執(zhí)行系統(tǒng)命令，在接收外部傳入的參數(shù)執(zhí)行命令時(shí)沒有做過濾或檢驗(yàn)。

危害情況：攻擊者傳入任意命令，導(dǎo)致惡意命令的執(zhí)行。

修復(fù)建議：對(duì)傳入的參數(shù)進(jìn)行嚴(yán)格的過濾。

最新評(píng)論