Android研發安全1-Activity組件安全（上）

       Activity組件是用戶惟一能看見的組件，做爲軟件全部功能的顯示載體，其安全性不言而喻。針對Activity組件安全，做爲一個安卓開發者來說須要在平常開發過程當中注意兩點：
- Activity訪問權限的控制
- Activity被劫持

本篇文章將分享Activity訪問權限控制方面的安全問題，首先科普下基礎知識

研發基礎知識

Activity分類

       Activity類型和使用方式決定了其風險和防護方式,故將Activity分類以下： Private、Public、Parter、In-house

Intent簡介

       Android中提供了Intent機制來協助應用間的交互與通信，Intent負責對應用中一次操做的動做、動做涉及數據、附加數據進行描述，Android則根據此Intent的描述，負責找到對應的組件，將 Intent傳遞給調用的組件，並完成組件的調用。Intent不只可用於應用程序之間，也可用於應用程序內部的Activity/Service之間的交互。所以，Intent在這裏起着一個媒體中介的做用，專門提供組件互相調用的相關信息，實現調用者與被調用者之間的解耦。在SDK中給出了Intent做用的表現形式爲：

• 經過Context.startActivity() orActivity.startActivityForResult()
  啓動一個Activity；
• 經過 Context.startService() 啓動一個服務，或者經過Context.bindService() 和後臺服務交互；

• 經過廣播方法(好比 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
  Context.sendStickyBroadcast()) 發給broadcast receivers。

  Intent可分爲隱式（implicitly）和顯式（explicitly）兩種：

（1）顯式 Intent

       即在構造Intent對象時就指定接收者，它通常用在知道目標組件名稱的前提下，通常是在相同的應用程序內部實現的，以下：

Intent intent = new Intent(MainActivit.this, NewActivity.class);
startActivity(intent );

上面那個intent中，直接指明瞭接收者：NewActivity

（2）隱式 Intent

       即Intent的發送者在構造Intent對象時，並不知道也不關心接收者是誰，有利於下降發送者和接收者之間的耦合，它通常用在沒有明確指出目標組件名稱的前提下，通常是用於在不一樣應用程序之間，以下：

Intent intent = new Intent();
intent.setAction("com.wooyun.test");
startActivity(intent);

       上面那個intent，沒有指明接收者，只是給了一個action做爲接收者的過濾條件。

       對於顯式Intent，Android不須要去作解析，由於目標組件已經很明確，Android須要解析的是那些隱式Intent，經過解析，將Intent映射給能夠處理此Intent的Activity、IntentReceiver或Service。

android:exported屬性

       在Activity中該屬性用來標示：當前Activity是否能夠被外部程序啓動：true容許被啓動；false不容許被啓動。這裏的外部程序指的是簽名不一樣、用戶ID不一樣的程序，簽名相同用戶ID相同的程序在執行時桐鄉同一個進程空間，批次之間是沒有組件訪問限制的。

      該屬性若是被設置爲了false，那麼這個Activity將只會被當前Application或者擁有一樣用戶ID的Application的組件調用。

       exported 的默認值根據Activity中是否有intent filter來定。沒有任何的filter意味着這個Activity只有在詳細的描述了他的class name後才能被喚醒。這意味着這個Activity只能在應用內部使用，由於其它application並不知道這個class的存在。因此在這種狀況下，它的默認值是false。從另外一方面講，若是Activity裏面至少有一個filter的話，意味着這個Activity能夠被其它應用從外部喚起，這個時候它的默認值是true。

android:protectionLevel屬性

       對於須要付費的操做以及可能涉及到用戶隱私的操做，Android中提供android:protectionLevel屬性，能夠對一些訪問進行了限制，如網絡訪問（需付費）以及獲取聯繫人（涉及隱私）等。應用程序若是想要進行此類訪問，則須要申請相應權限。Android對這些權限進行了四類分級，不一樣級別的權限對應不一樣的認證方式。

normal:默認值。低風險權限，只要申請了就可使用，安裝時不須要用戶確認。

dangerous：像WRITE_SETTING和SEND_SMS等權限是有風險的，由於這些權限可以用來從新配置設備或者致使話費。使用此protectionLevel來標識用戶可能關注的一些權限。Android將會在安裝程序時，警示用戶關於這些權限的需求，具體的行爲可能依據Android版本或者所安裝的移動設備而有所變化。

signature：這些權限僅授予那些和本程序應用了相同密鑰來簽名的程序。

signatureOrSystem:與signature相似，除了一點，系統中的程序也須要有資格來訪問。這樣容許定製Android系統應用也能得到權限，這種保護等級有助於集成系統編譯過程。

Activity組件已知產生的安全問題

1. 惡意調用頁面
2. 惡意接收數據
3. 惡意發送廣播、啓動應用服務
4. 調用組件，惡意接收組件返回的數據

烏雲網漏洞報告實例

1快玩瀏覽器android客戶端本地拒絕服務

2雪球android客戶端本地拒絕服務漏洞

3Tencent Messenger(QQ) Dos vulnerability(critical)

4Tencent WeiBo multiple Dos vulnerabilities(critical)

5Android原生的Settings應用存在必現崩潰問題（可形成拒絕服務攻擊） (涉及fragment)

6隱式啓動intent包含敏感數據,攻擊模型以下圖：

研發人員該如何預防

private activity

      私有Activity不該被其餘應用啓動且應該確保相對是安全的

關於Intent的使用

• 謹慎處理接收的Intent以及其攜帶的信息
• 當Activity返回數據時候需注意目標Activity是否有泄露信息的風險
• 目標Activity十分明確時儘可能使用顯示啓動
• 謹慎處理Activity返回的數據，目的Activity返回的數據有多是惡意應用僞造的
• 驗證目標Activity是否惡意app，以避免受到Intent欺騙，可用hash簽名驗證
• 儘量的不發送敏感信息，應考慮到啓動public Activity中Intent的信息均有可能被惡意應用竊取的風險

設置android:exported屬性

      不須要被外部程序調用的組件應該添加android:exported=」false」屬性，這個屬性說明它是私有的，只有同一個應用程序的組件或帶有相同用戶ID的應用程序才能啓動或綁定該服務。

<activity android:name=".HomeActivity" android:label="@string/app_name" android:screenOrientation="portrait" android:exported="false">

設置特定組件的訪問權限

      對於但願Activity可以被特定的外部程序訪問，能夠爲其設置訪問權限，具體作法有三種：

（1）組件添加android：permission屬性。

<activity android:name=".AnotherActivity" ndroid:label="@string/app_name" android:permission="com.wooyun.custempermission">
</activity>

（2）protectionLevel權限聲明

exported屬性只是用於限制Activity是否暴露給其餘app，經過配置文件中的權限申明也能夠限制外部啓動activity

<permission android:description="wooyun" android:label="wooyun" android:name="com.wooyun.custempermission" android:protectionLevel="normal">    
</permission>

protectionLevel有四種級別normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem時，只有相同簽名時才能調用。

（3）聲明

<uses-permission android:name="com.wooyun.custempermission" />

總結 這樣聲明的Activity在被調用時，Android就會檢查調用者是否具備com.wooyun.custempermission權限，若是沒有就會觸發SecurityException異常。

暴露組件的代碼檢查

      Android 提供各類 API 來在運行時檢查、執行、授予和撤銷權限。這些 API是 android.content.Context 類的一部分，這個類提供有關應用程序環境的全局信息。

if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")  
        != PackageManager.PERMISSION_GRANTED) {  
            // The Application requires permission to access the 
            // Internet"); 
} else {  
    // OK to access the Internet 
}