0x00前言
我们都知道在当下互联网时代,手机移动端的普及已经是非常普遍的事情了,同时APP风险漏洞也逐渐暴露出来。所谓的风险漏洞一般来说是应用代码编写过程中出现的安全漏洞、编码隐患、甚至业务逻辑上的缺陷。APP风险漏洞往往带来很多危害,诸如
成应用内信息泄露、远程代码执行、本地拒绝服务等多种安全问题,严重的可能影响应用正常运行,更为严重的是导致手机系统的权限沦陷,手机被控制监听。
0x01常见的APP漏洞
1 权限滥用
权限为normal权限,可能导致敏感信息泄露;如果程序具有root权限,且没有对调用做限制的话,可能被恶意利用;同源绕过漏洞,activity接收使用file://路径的协议,却没有禁用Javascript的执行,通过此漏洞可以读取应用的任意内部私有文件,造成信息泄露。
修复方案: 建议修改为signature或者signatureOrSystem;禁用不必要的高权限,并对关键权限加上校验限制;禁用file协议或禁止file协议加载的文件执行Javascript
2 https验证类漏洞
漏洞可导致中间人攻击,应用没有校验服务器证书,可导致中间人攻击,泄露通信内容
修复方案: 建议不要忽略ssl认证错误;不要重写TrustManager类,或者实现checkServerTrusted,增加对服务器证书的校验;不要调用setHostnameVerifier设置ALLOW_ALL_HOSTNAME_VERIFY标志位
3 Log敏感信息泄露
android应用程序在程序运行期间打印了用户的敏感信息,然后这些记录被存储在操作系统中,一般的存储路径为/data/data/应用程序名。这些信息可以被其他程序非法读取。尤其是这些数据是敏感的信息如用户名/密码,传输的数据等。这些Log造成敏感信息泄露
修复方案: 建议禁止隐私信息的log,建议发布版去掉log信息4 不安全的配置
全局可读文件,应用内存在其它任何应用都可以读取的私有文件,可能造成信息泄漏,app调试风险,允许程序被调试;私有文件存在敏感文件泄露风险;app备份风险,允许程序备份,可能导致用户信息泄露;
修复方案:私有配置文件读风险 建议禁用全局读操作,改为MODE_PRIVATE,将文件属性改为只有所属用户或同组用户可以读取,将debugable的值修改为false;建议禁用MODE_WORLD_READABLE和MODE_WORLD_READABLE选项打开文件;如果不需要备份则添加allowBackup=false,或者实现加密备份
5 组件安全漏洞
ContentResolver暴露漏洞,通过暴露的ContentResolver可以绕过provider的权限限制;Activity安全漏洞,Activity存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用;Service安全漏洞,Service存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用;Receiver安全漏洞,BroadcastReceiver存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用;Activity组件暴露风险,Activity接口可被其它应用调用,用于执行特定的敏感操作或钓鱼欺骗,建议添加 android:exported=false,若需要外部调用,需自定义signature或者signatureOrSystem级别的权限;广播信息泄露风险,广播可以被其他恶意程序进行接收,导致用户信息泄露或者终止广播。
修复方案: 对使用ContentResolver的组件不导出或者添加权限限制;对传给Activity的intent中的参数进行严格的检测,如无必要不要导出这个Activity;对传给Service的intent中的参数进行严格的检测,如无必要不要导出这个Service;对传BroadcastReceiver的intent中的参数进行严格的检测,如无必要不要导出这个Receiver,需要暴露的组件请严格检查输入参数,避免应用出现拒绝服务。进程内动态广播注册建议使用LocalBroadcastManager;或者使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission, Handler)替代registerReceiver(BroadcastReceiver, IntentFilter);无需暴露的组件请设置exported=false;若需要外部调用,建议添加自定义signature或signatureOrSystem级别的私有权限保护;需要暴露的组件请严格检查输入参数,避免应用出现拒绝服务;建议使用显式调用方式发送Intent;进程内发送消息建议使用LocalBroadcastManager;或者使用权限限制接收范围,如使用sendBoardcast(Intent, receiverPermission)替代sendBoardcast(Intent)6 使用不安全的加密模式
使用AES或者DES加密时,使用的默认加密模式或者显式指定使用ECB模式.容易受到选择明文攻击(CPA),造成信息泄露;CBC加密时,使用了常量作为IV,可被进行BEAST攻击,造成信息泄露;外部存储使用风险,存储在外部空间的数据可能造成信息泄露;修复方案: 显式指定使用CBC模式加密;动态生成IV的数值;建议敏感数据不要采用外部存储,外部存储做好权限限制和加密处理
7 URI用户敏感信息泄露
URI中包含用户敏感信息,导致逆向分析者很容易获得相关信息;Url中包含用户敏感信息,可能导致信息泄露;外部URL可控的Webview,Activity可被其它应用程序掉用并加载一个外部传入的链接,可被用来进行钓鱼攻击,或者进一步进行漏洞利用;通过存在漏洞的URI,可以遍历读取应用的私有数据文件,造成信息泄露;Activity接受外部传入的url参数,且存在WebView远程代码。攻击者可从本地或者远程对客户端进行注入,执行任意恶意代码修复方案: Uri路径做转换;数据加密处理;减少不必要的Activity的导出;修改存在文件遍历漏洞的URI的ContentProvider的实现,对输入进行严格的检测和过滤;不要导出此Activity,或者对接受的url参数进行严格判断
8 WebView远程代码执行
在4.0至4.2的Android系统上,Webview会增加searchBoxJavaBredge_,导致远程代码执行。攻击者可以向页面植入Javascript,通过反射在客户端中执行任意恶意代码,JavascriptInterface允许攻击者向页面植入Javascript,通过反射在客户端中执行任意恶意代码。所有应用在4.2以下的应用会受影响,编译API level 小于17的应用在全部系统中都受影响修改建议: 在Webview中调用removeJavascriptInterface("searchBoxJavaBredge_");若应用编译时API level小于17,需要提升SDK版本。如果希望4.2以下的手机不受影响,可以参考替代方案https://github.com/pedant/safe-java-js-webview-bridge
9 sql注入漏洞
漏洞可能导致用户数据库中的信息泄露或者篡改;Fragment注入漏洞,漏洞导致通过intent输入适当的extra就可以调用其内部的任意fragment;Selection SQL注入漏洞,应用存在Selection SQL注入漏洞,会导致存储在ContentProvider中的数据被泄漏和篡改;Projection SQL注入漏洞,应用存在Projection SQL注入漏洞,会导致存储在ContentProvider中的数据被泄漏和篡改; 存在可被恶意访问的表单,存在可以利用SQL注入方式访问的表单,造成信息泄露修改建议: 建议使用安全sqlite,如sqlcipher;不要导出PreferenceActivity;修改存在注入漏洞的URI的ContentProvider的实现,对输入进行严格的检测和过滤; 修改存在注入漏洞的URI的ContentProvider的实现,对输入进行严格的检测和过滤; 修复相关的SQL注入漏洞
0x02 安全防护
类似Log敏感信息泄露、web https校验错误忽略漏洞、sql注入漏洞等风险都有可能给应用带来严重的安全隐患,我们可以从以下几个方面着手:
1 及时对应用风险漏洞进行修补,并养成良好的应用编程习惯;
2 使用proguard 进行代码混淆和加固设置。
3 使用加固类产品对应用进行安全加固,可降低风险漏洞被利用的可能性。
0x03 参考文档
http://www.droidsec.cn/
http://blog.nsfocus.net/mobile-app-security-security-test/
http://www.androidpolice.com/
https://github.com/AndroidSecurityTools
欢迎大家分享更好的思路,热切期待^^_^^ !