对某地铁app的一次静态扫描报告分析

本次分析从华为应用中心(app-store)下载的某地铁app
分析工具使用了源伞科技Pinpoint

扫描结果

共计找到122个致命问题， 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引发崩溃或异常的错误，277个安全隐私类问题以及897个执行效率低下问题。

现举例以下：

安全隐私高危漏洞：

漏洞	路径注入--该漏洞可使得恶意攻击者覆盖任意文件
位置	yedemo/zw.java，yedemo.zw.b函数 (应该是名称混淆后的结果)

漏洞触发大概逻辑以下：

void b(String var1) throws IOException {
      …
        // 1这里打开了一个压缩文件
      ZipFile var4 = new ZipFile(var1);
        // 2 这里读取压缩文件的内容
      Enumeration var5 = var4.entries();
      …
      while(true) {
         ZipEntry var15;
         boolean var16;
         // 3 do-while循环找到一个不是文件夹的普通文件，并存储到var15里
         do {
            boolean var11 = var5.hasMoreElements();
            if (!var11) {
               var4.close();
               var3.delete();
               return;
            }
            var15 = var5.nextElement();
            var16 = var15.isDirectory();
         } while(var16);
         …
         String var9 = this.c;
         String var19 = var15.getName();
         // 4 这里拼接了 var9 + var15.name, 做为路径打开文件，这里this.c猜想是某地铁的数据存储路径
         // 漏洞：若是zip文件中的文件名中特殊字符，好比”../../../system/system_config”就会覆盖系统文件，有可能攻击整个系统
         File var8 = new File(var9, var19);
         …
      }

这里 ZipEntry.isDirectory函数定义以下：

这个没法防护相似”../../../system/system_config”的而已输入
File的构造函数以下：

这个也没法防护传给child的相似”../../../system/system_config”的恶意参数，说明中也有提示：

本漏洞属于去年爆出的ZipSlip漏洞，这是一种任意覆盖文件的漏洞，也就是说可以覆盖现有文件。它是由目录遍历攻击触发的，攻击者从归档文件（archive）解压缩文件的同时，还能够访问受限制的目录。顾名思义，这个安全漏洞不只与著名的ZIP格式等归档格式有关，还与其余一些格式有关，包括tar、jar、war、cpio、apk、rar和7z。这个漏洞可能会致使这种情形：攻击者能够解压缩日常解压缩路径以外的文件，覆盖敏感文件，好比关键的操做系统库或服务器配置文件。

漏洞	Null Pointer Exception：该漏洞可能致使程序闪退，抛空指针异常
位置	该漏洞跨越3个文件yedemo/aqv.java，yedemo/aqs.java yedemo/arc.java，跨越yedemo.aqv.a, yedemo.aqs.a, yedemo.arc.a3个函数 (应该是名称混淆后的结果)

漏洞触发大概逻辑以下：

yedemo.arc.a(var1) {
      …
      try {
         PackageManager var6 = var0.getPackageManager();
         byte var4 = 64;
         var7 = var6.getPackageInfo(var1, var4);
      } catch (NameNotFoundException var20) {
         return null;
      }
      …
If (var7.signature.length == 0) {
   return null;
}
}
这里在发生异常或者signature长度为0的时候能够返回空指针

yedemo.aqs.a(var1) {
if (var1 != null) {
      …
          var14 = arc.a(var1, var1.getPackageName());
          xxx = aqv.a(var14);
          …
    }
}

   yedemo.aqs.a(var14) {
         …
         byte[] var3 = var14.getBytes();
         …
}

这里arc.a的返回值var14直接传给了aqv.a, 而后aqv.a直接使用了这个空指针，致使空指针异常

漏洞	代码风格问题：使用string类型判等的时候要使用String.equals(), 直接使用等号或不等号断定会致使和语义不一致的结果。
位置	com/indoor/navigation/navi/Navigation.java，com.indoor.navigation.navi.Navigation.a函数 (应该是名称混淆后的结果)

正常来讲，咱们期待String a =new String(”123”), 对于a==”123”应该要返回true。然而代码使用== 或！=运算符比较的是java.lang.String对象的引用相等性而不是值得相等型，好比String a =new String(”123”), 对于a==”123”的断定会返回false而不是按照字符串的值返回true。属于很是危险的调用，应该使用String.equals()方法能够肯定按照字符串实际的值来比较
例如：这段代码的输出是

'=' : False
'equals' : True

public class HelloWorld {
    public static void main(String[] args) {
        String a = new String("123");
        if(a == "123") {
            System.out.println("'=' : True");
        } else {
            System.out.println("'=' : False");
        }
        
        if(a.equals("123")) {
            System.out.println("'equals' : True");
        } else {
            System.out.println("'equals' : False");
        }
    }
}

一个触发实例位置：com/indoor/navigation/navi/Navigation.java，com.indoor.navigation.navi.Navigation.a函数 (应该是名称混淆后的结果)

为国产静态代码分析工具源伞科技Pinpoint打Call!为国产静态检测工具源伞科技Pinpoint打Call!