安卓开发开发规范手册V1.0

安卓开发开发规范手册V1.0

以前发布过一份Web安全开发规范手册V1.0,看到收藏文章的读者挺多，发现整理这些文档还挺有意义。

最近周末抽了些时间把以前收集关于安卓安全开发的资料也整理了一下，整理出一份安卓安全开发手册，大部份内容都是在一些博客看到各位师傅的分享。

1、manifest文件安全

1.1 禁止PermissionGroup的属性为空

PermissionGroup能够对permission进行一个逻辑上的分组。若是PermissionGroup的属性为空，会致使权限定义无效，且其余app没法使用该权限。

开发建议

设置PermissionGroup属性值或者不使用PermissionGroup。

1.2 系统权限确认

App若是使用一些系统限制权限，诸如android.permission.WRITE_SECURE_SETTINGS和android.permission.INSTALL_PACKAGES，则该app应该是设备自带的系统或google自带的app，而且应该放置在/system/app目录下。不然就是一个恶意app。

App使用下述权限，则该app有较高权限，要谨慎使用。

android.permission.MOUNT\_FORMAT\_FILESYSTEMS,

android.permission.MOUNT\_UNMOUNT\_FILESYSTEMS,

android.permission.RESTART\_PACKAGES。

开发建议

根据业务需求，如非必要，移除该权限。

1.3 protectionLevel属性设置

因为对app的自定义permission的protectionLevel属性设置不当，会致使组件（如：content provider）数据泄露危险。最好的权限设置应为signature或signatureOrSystem，进而避免被第三方应用利用。

开发建议

注意使用signature或signatureOrSystem防止其余app注册或接受该app的消息，提升安全性。

1.4 合理设置sharedUserId权限

经过sharedUserId，可让拥有同一个User Id的多个apk运行在同一个进程中，互相访问任意资源。将sharedUserId设置为android.uid.system，能够把app放到系统进程中，app将得到极大的权限。若是app同时有master key漏洞，容易致使被root。

开发建议

合理设置软件权限。

1.5 设置allowBackup为false

当这个标志被设置成true或不设置该标志位时，应用程序数据能够备份和恢复，adb调试备份容许恶意攻击者复制应用程序数据。

开发建议

设置AndroidManifest.xml的android:allowBackup标志为false。

影响范围

API >= 8

1.6 禁止Debuggable为true

在AndroidManifest.xml中定义Debuggable项，若是该项被打开，app存在被恶意程序调试的风险，可能致使泄露敏感信息等问题。

开发建议

显示的设置AndroidManifest.xml的debuggable标志为false。

2、组件安全

2.1 合理设置导出Activity、activity-alias、service、receiver

Activity、activity-alias、service、receiver组件对外暴露会致使数据泄露和恶意的dos攻击。

开发建议

1. 最小化组件暴露。对不会参与跨应用调用的组件添加android:exported=false属性。
2. 设置组件访问权限。对跨应用间调用的组件或者公开的receiver、service、activity和activity-alias设置权限，同时将权限的protectionLevel设置为signature或signatureOrSystem。
3. 组件传输数据验证。对组件之间，特别是跨应用的组件之间的数据传入与返回作验证和增长异常处理，防止恶意调试数据传入，更要防止敏感数据返回。

2.2 Contentprovider信息泄露风险

provider组件导出可能会带来信息泄露隐患。api level在17如下的全部应用的android:exported属性默认值为true,17及以上默认值为false。

开发建议

1. 最小化组件暴露。对不会参与跨应用调用的组件添加android:exported=false属性。
2. 设置组件访问权限。对导出的provider组件设置权限，同时将权限的protectionLevel设置为signature或signatureOrSystem。
3. 因为Contentprovider没法在2（API-8）申明为私有。故建议将min sdk设为8以上。

影响范围

api level在17如下的全部应用的android:exported属性默认值为true,17及以上默认值为false。

2.3 严格过滤openFile对uri访问

该漏洞因为Content provider组件暴露，没有对Content provider组件访问权限进行限制且对Uri路径没有进行过滤，攻击者经过Content provider实现的OpenFile接口进行攻击，如经过../的方式访问任意的目录文件，形成隐私泄露。

开发建议

1. 将没必要要导出的Content provider设置为不导出
2. 因为Android组件Content provider没法在Android 2.2（即API Level 8）系统上设为不导出，所以若是应用的Content provider没必要要导出，阿里聚安全建议声明最低SDK版本为8以上版本；
3. 因为API level 在17如下的全部应用的android:exported属性默认值都为，所以若是应用的Content provider没必要要导出，阿里聚安全建议显示设置注册的Content provider组件的android:exported属性为false；
4. 去除没有必要的penFile()接口
5. 若是应用的Content provider组件没有必要实现penFile()接口，阿里聚安全建议移除该Content provider的没必要要的penFile()接口。
6. 过滤限制跨域访问，对访问的目标文件的路径进行有效判断
7. 使用decode()先对Content Query Uri进行解码后，再过滤如可经过../实现任意可读文件的访问的Uri字符串；
8. 设置权限来进行内部应用经过Content provider的数据共享
9. 使用签名验证来控制Content provider共享数据的访问权限，如设置protectionLevel=signature或signatureOrSystem；
10. 公开的content provider确保不存储敏感数据
11. 提供asset文件时注意权限保护

2.4 使用显式Intent 调用bindService()

建立隐式Intent 时，Android 系统经过将Intent 的内容与在设备上其余应用的清单文件中声明的Intent 过滤器进行比较，从而找到要启动的相应组件。若是Intent 与Intent 过滤器匹配，则系统将启动该组件，并将其传递给对象。若是多个Intent 过滤器兼容，则系统会显示一个对话框，支持用户选取要使用的应用。

为了确保应用的安全性，启动Service 时，请始终使用显式Intent，且不要为服务声明Intent 过滤器。使用隐式Intent 启动服务存在安全隐患，由于您没法肯定哪些服务将响应Intent，且用户没法看到哪些服务已启动。从Android 5.0（API 级别21）开始，若是使用隐式Intent 调用bindService()，系统会抛出异常。

开发建议

为了确保应用的安全性，启动 Service 时，请始终使用显式 Intent，且不要为服务声明 Intent 过滤器。使用隐式 Intent 启动服务存在安全隐患，由于您没法肯定哪些服务将响应Intent，且用户没法看到哪些服务已启动。从 Android 5.0（API 级别 21）开始，若是使用隐式 Intent 调用 bindService())，系统会抛出异常。

影响范围

所有。从Android 5.0（API 级别21）开始，若是使用隐式Intent 调用bindService()，系统会抛出异常。

2.5 合理处理Intent Scheme URL

Intent Scheme URI是一种特殊的URL格式，用来经过Web页面启动已安装应用的Activity组件，大多数主流浏览器都支持此功能。

Android Browser的攻击手段——Intent Scheme URLs攻击。这种攻击方式利用了浏览器保护措施的不足，经过浏览器做为桥梁间接实现Intend-Based攻击。相比于普通Intend-Based攻击，这种方式极具隐蔽性，

若是在app中，没有检查获取到的load_url的值，攻击者能够构造钓鱼网站，诱导用户点击加载，就能够盗取用户信息。因此，对Intent URI的处理不当时，就会致使基于Intent的攻击。

若是浏览器支持Intent Scheme URI语法，通常会分三个步骤进行处理：

1. 利用parseUri解析uri，获取原始的intent对象；
2. 对intent对象设置过滤规则；
3. 经过startActivityIfNeeded或者startActivity发送intent；其中步骤2起关键做用，过滤规则缺失或者存在缺陷都会致使Intent Schem URL攻击。

关键点

Intent.parseUri函数，经过扫描出全部调用了Intent.parseUri方法的路径，并检测是否使用以下的策略。

比较安全的使用Intent Scheme URI方法是：

若是使用了Intent.parseUri函数，获取的intent必须严格过滤，intent至少包含addCategory(android.intent.category.BROWSABLE)，setComponent(null)，setSelector(null)3个策略。

因此，在检的时候只要根据Intent.parseUri函数返回的Intent对象有没有按照如下方式实现便可作出判断：

// convert intent scheme URL to intent object

Intent intent = Intent.parseUri(uri);

 // forbid launching activities without BROWSABLE category

intent.addCategory(android.intent.category.BROWSABLE);

// forbid explicit call

intent.setComponent(null);

 // forbid intent with selector intent  intent.setSelector(null);

// start the activity by the intent

context.startActivityIfNeeded(intent, -1)

开发建议

若是使用了Intent.parseUri函数，获取的intent必须严格过滤，intent至少包含addCategory(android.intent.category.BROWSABLE)，setComponent(null)，setSelector(null)3个策略。除了以上作法，最佳处理不要信任任何来自网页端的任何intent，为了安全起见，使用网页传过来的intent时，要进行过滤和检查

2.6 本地拒绝服务

Android系统提供了Activity、Service和Broadcast Receiver等组件，并提供了Intent机制来协助应用间的交互与通信，Intent负责对应用中一次操做的动做、动做涉及数据、附加数据进行描述，Android系统则根据此Intent的描述，负责找到对应的组件，将Intent传递给调用的组件，并完成组件的调用。Android应用本地拒绝服务漏洞源于程序没有对Intent.GetXXXExtra()获取的异常或者畸形数据处理时没有进行异常捕获，从而致使攻击者可经过向受害者应用发送此类空数据、异常或者畸形数据来达到使该应用Crash的目的，简单的说就是攻击者经过Intent发送空数据、异常或畸形数据给受害者应用，致使其崩溃。

对导出的组件传递一个不存在的序列化对象，若没有try...catch捕获异常就会崩溃

ComponentName cn = new ComponentName(com.test, com.test.TargetActivity)

Intent i = new Intent()

i.setComponentName(cn)

i.putExtra(key, new CustomSeriable())

startActivity(i)

**public class DataSchema implements Serializable {**

        public DataSchema() {

                super();

        }

}

2.6.1 NullPointerException 异常致使的拒绝服务

源于程序没有对getAction()等获取到的数据进行空指针判断，从而致使了空指针异常致使应用崩溃

风险代码：

Intent i = new Intent();

if (i.getAction().equals(TestForNullPointerException)) {

    Log.d(TAG, Test for Android Refuse Service Bug);

}

2.6.2 ClassCastException 异常致使的拒绝服务

源于程序没有对getSerializableExtra()等获取到的数据进行类型判断而进行强制类型转换，从而致使类型转换异常致使拒绝服务漏洞

风险代码：

Intent i = getIntent();

String test = (String) i.getSerializableExtra(serializable\_key);

**IndexOutOfBoundsException 异常致使拒绝服务漏洞**

源于程序没有对getIntegerArrayListExtra()等获取到的数据数组元素大小判断，致使数组访问越界而形成拒绝服务漏洞

风险代码：

Intent intent = getIntent();

ArrayList<Integer> intArray = intent.getIntegerArrayListExtra(user\_id);

if (intArray != null) {

    for (int i = 0; i < 10; i++) {

        intArray.get(i);

    }

}

2.6.3 ClassNotFoundException 异常致使的拒绝服务漏洞

Intent i = getIntent();

getSerializableExtra(key);

开发建议

1. 将比不要导出的组建设置为不导出
2. 在处理Intent数据时，进行捕获异常，经过getXXXExtra()获取的数据时进行如下判断，以及用try catch方式捕获全部异常，防止出现拒绝服务漏洞，包括：空指针异常、类型转换异常、数组越界访问异常、类未定义异常、其余异常

Try{

    ....

xxx.getXXXExtra()

....

}Catch Exception{

**   **  **// 为空便可**

}

2.7 合理定义android.intent.category.BROWSABLE

在AndroidManifest文件中定义了android.intent.category.BROWSABLE属性的组件，能够经过浏览器唤起，这会致使远程命令执行漏洞攻击

开发建议

1. APP中任何接收外部输入数据的地方都是潜在的攻击点，过滤检查来自网页的参数
2. 不要经过网页传输敏感信息，有的网站为了引导已经登陆的用户到APP上使用，会使用脚本动态的生成URL Scheme的参数，其中包括了用户名、密码或者登陆态token等敏感信息，让用户打开APP直接就登陆了。恶意应用也能够注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪一个应用打开连接，可是若是用户不注意，就会使用恶意应用打开，致使敏感信息泄露或者其余风险。

2.8 删除Debug和Test信息

一些app在正式发布前，为了方便调试app，都会在app里集成一些调试或测试界面。这些测试界面可能包含敏感的信息。

开发建议

在正式发布前移除全部的测试组件

2.9 Intent不安全反射风险

经过Intent接收的Extra参数来构造反射对象会致使从不受信任的源加载类。攻击者能够经过巧妙地构造达到加载其它类的目的

两个关键函数，分别是：getIntent()和Class.forName(....)

public class SecondActivity extends Activity {

        @Override

            protected void onCreate(Bundle savedInstanceState) {

                super.onCreate(savedInstanceState);

                setContentView(R.layout.activity\_second);

                Intent intent = getIntent();

                String className = intent.getStringExtra(className);

                String methodName = intent.getStringExtra(methodName);

                try {

                        Class<?> clz = null;

                        clz = Class.forName(className);

                        Date object = (Date) clz.newInstance();

                        Method method = clz.getMethod(methodName);

                        Toast.makeText(getApplicationContext(), method.invoke(object, null) + ======, Toast.LENGTH\_LONG).show();

                } catch (Exception e) {

                        e.printStackTrace();

                }

        }

}

逆向后对应的smali代码以下：

invoke-virtual {p0}, Lcom/bug/intent/reflection/SecondActivity;->getIntent()Landroid/content/Intent;

invoke-static {v0}, Ljava/lang/Class;->forName(Ljava/lang/String;)Ljava/lang/Class;

开发建议

1. 不要经过Intent接收的Extra传播的反射函数
2. 将接受反射的组件设置为非导出组件

3、webview组件安全

3.1 WebView远程执行漏洞

和WebView远程代码执行相关的漏洞主要有CVE-2012-6336,CVE-2014-1939,CVE-2014-7224, 这些漏洞中最核心的漏洞是CVE-2012-6336，另外两个CVE只是发现了几个默认存在的接口。

Android API < 17以前版本存在远程代码执行安全漏洞，该漏洞源于程序没有正确限制使用addJavaScriptInterface(CVE-2012-6636)方法，攻击者能够经过Java反射利用该漏洞执行任意Java对象的方法，致使远程代码执行安全漏洞除。

开发建议

1. API等于高于17的Android系统。出于安全考虑，为了防止Java层的函数被随意调用，Google在2版本以后，规定容许被调用的函数必须以@JavascriptInterface进行注解。
2. API等于高于17的Android系统。建议不要使用addJavascriptInterface接口，以避免带来没必要要的安全隐患，若是必定要使用该接口：
3. 若是使用https协议加载url，应用进行证书校验防止访问的页面被篡改挂马
4. 若是使用http协议加载url，应进行白名单过滤、完整性校验等防止访问的页面被篡改
5. 若是加载本地html，应将html文件内置在apk中，以及进行对html页面完整性的校验
6. 使用removeJavascriptInterface移除Android系统内部的默认内置接口：searchBoxJavaBridge_、accessibility、accessibilityTraversal

范围：

CVE-2012-6636

Android API 16.0及以前的版本中存在安全漏洞，该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法。远程攻击者可经过使用Java Reflection API利用该漏洞执行任意Java对象的方法

Google Android <= 4.1.2 (API level 16) 受到此漏洞的影响。

CVE-2014-1939

java/android/webkit/BrowserFrame.java

使用addJavascriptInterface API并建立了SearchBoxImpl类的对象。攻击者可经过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码。

Google Android <= 4.3.1 受到此漏洞的影响

CVE-2014-7224

香港理工大学的研究人员发现当系统辅助功能中的任意一项服务被开启后，全部由系统提供的WebView都会被加入两个JS objects，分别为是accessibility和accessibilityTraversal。恶意攻击者就可使用accessibility和accessibilityTraversal这两个Java Bridge来执行远程攻击代码.

Google Android < 4.4 受到此漏洞的影响。

3.2 WebView潜在XSS攻击

容许WebView执行JavaScript(setJavaScriptEnabled)，有可能致使XSS攻击。

开发建议

应尽可能避免使用。若是必定要使用：

1. API等于高高于17的Android系统。出于安全考虑，为了防止Java层的函数被随意调用，Google在2版本以后，规定容许被调用的函数必须以@JavascriptInterface进行注解。
2. API等于高高于17的Android系统。建议不要使用addJavascriptInterface接口，一面带来没必要要的安全隐患，若是必定要使用该接口：
3. 若是使用https协议加载url，应用进行证书校验防止访问的页面被篡改挂马
4. 若是使用http协议加载url，应进行白名单过滤、完整性校验等防止访问的页面被篡改
5. 若是加载本地html，应将html文件内置在apk中，以及进行对html页面完整性的校验
6. 使用removeJavascriptInterface移除Android系统内部的默认内置接口：searchBoxJavaBridge_、accessibility、accessibilityTraversal

影响范围

Android api <17

3.3 WebView File域同源策略绕过

应用程序一旦使用WebView并支持File域，就会受到该漏洞的攻击。该漏洞源于：JavaScript的延时执行可以绕过file协议的同源检查，并可以访问受害应用的全部私有文件，即经过WebView对Javascript的延时执行和将当前Html文件删除掉并软链接指向其余文件就能够读取到被符号连接所指的文件，而后经过JavaScript再次读取HTML文件，便可获取到被符号连接所指的文件。

大多数使用WebView的应用都会受到该漏洞的影响，恶意应用经过该漏洞，可在无特殊权限下盗取应用的任意私有文件，尤为是浏览器，可经过利用该漏洞，获取到浏览器所保存的密码、Cookie、收藏夹以及历史记录等敏感信息，从而形成敏感信息泄露。

开发建议

1. 将没必要要导出的组件设置为不导出

   若是应用的组件没必要要导出，建议显式设置所注册组件的android:exported属性为false；

2. 若是须要导出组件，禁止使用File域

   若是应用的须要导出包含WebView的组件，建议禁止使用File域协议：

myWebView.getSettings. setAllowFileAccess(false);

1. 若是须要使用File协议，禁止File协议调用JavaScript

   若是应用的WebView须要使用File域协议，建议禁止File域协议调用JavaScript：

myWebView.getSettings. setJavaScriptEnabled(false);

3.4 禁止webview密码明文存储

webview的保存密码功能默认设置为true。Webview会明文保存网站上的密码到本地私有文件databases/webview.db中。对于能够被root的系统环境或者配合其余漏洞（如webview的同源绕过漏洞），攻击者能够获取到用户密码。

开发建议

显示设置webView.getSetting().setSavePassword(false)

3.5 主机名弱校验漏洞

自定义HostnameVerifier类，却不实现verify方法验证域名，致使中间人攻击漏洞。

开发建议

自定义HostnameVerifier类并实现verify方法验证域名。

3.6 证书弱校验漏洞

App在实现X509TrustManager时，默认覆盖google默认的证书检查机制方法：checkClientTrusted、checkServerTrusted和getAcceptedIssuers，会致使中间人攻击漏洞。

开发建议

若是本身建立X509Certificate，则在覆盖checkClientTrusted、checkServerTrusted和getAcceptedIssuers后要进行校验。

3.7 中间人攻击漏洞

App调用setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER)，信任全部主机名，会致使中间人攻击。

开发建议

查找全部设置了ALLOW_ALL_HOSTNAME_VERIFIER字段属性的方法路径；对信任的主机严格认证

3.8 WebView不校验证书漏洞

Android WebView组件加载网页发生证书认证错误时，会调用WebViewClient类的onReceivedSslError方法，若是该方法实现调用了handler.proceed()来忽略该证书错误，则会受到中间人攻击的威胁，可能致使隐私泄露。

自定义实现的WebViewClient类在onReceivedSslError是否调用proceed()方法。

开发建议

当发生证书认证错误时，采用默认的处理方法handler.cancel()，中止加载问题页面当发生证书认证错误时，采用默认的处理方法handler.cancel()，中止加载问题页面

3.9 WebView组件系统隐藏接口未移除

android webview组件包含3个隐藏的系统接口：searchBoxJavaBridge_,accessibilityTraversal以及accessibility，恶意程序能够利用它们实现远程代码执行。

风险代码：

const-string v3, searchBoxJavaBridge\_

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

const-string v3, accessibility

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

const-string v3, accessibilityTraversal

invoke-virtual {v1, v3}, Landroid/webkit/WebView;->removeJavascriptInterface(Ljava/lang/String;)V

开发建议

使用了WebView，那么使用WebView.removeJavascriptInterface(String name) API，显示的移除searchBoxJavaBridge_、accessibility、accessibilityTraversal这三个接口

影响范围

4.0~4.4(不包含)

4、sqlite安全

4.1 SQLite sql注入漏洞

SQLite作为android平台的数据库，对于数据库查询，若是开发者采用字符串连接方式构造sql语句，就会产生sql注入。

开发建议

1. provider不须要导出，请将export属性设置为false
2. 若导出仅为内部通讯使用，则设置protectionLevel=signature
3. 不直接使用传入的查询语句用于projection和selection，使用由query绑定的参数selectionArgs
4. 完备的SQL注入语句检测逻辑

4.2 Databases任意读写漏洞

APP在使用openOrCreateDatabase建立数据库时，将数据库设置了全局的可读权限，攻击者恶意读取数据库内容，获取敏感信息。在设置数据库属性时若是设置全局可写，攻击者可能会篡改、伪造内容，能够能会进行诈骗等行为，形成用户财产损失。

开发建议

1. 用MODE_PRIVATE模式建立数据库
2. 使用sqlcipher等工具加密数据库
3. 避免在数据库中存储明文和敏感信息

网络通讯安全

5.1 SSL不安全组件

SSLCertificateSocketFactory#getInsecure方法没法执行SSL验证检查，使得网络通讯遭受中间人攻击。

开发建议

移除SSLCertificateSocketFactory#getInsecure方法。

5.2 HttpHost安全

HttpHost target = new HttpHost(uri.getHost(), uri.getPort(), HttpHost.DEFAULT_SCHEME_NAME);

HttpHost.DEFAULT_SCHEME_NAME默认是http，不安全。

开发建议

改为使用https

5.3 HttpURLConnection漏洞

在Android 2.2版本以前，HttpURLConnection一直存在着一些使人厌烦的bug。好比说对一个可读的InputStream调用close()方法时，就有可能会致使链接池失效了。

开发建议

判断Android版本，并设置http.keepAlive为false。

private void disableConnectionReuseIfNecessary() {

        // Work around pre-Froyo bugs in HTTP connection reuse.

        if (Integer.parseInt(Build.VERSION.SDK) < Build.VERSION\_CODES.FROYO) {

                System.setProperty(http.keepAlive, false);

        }

}

影响范围

2.2版本以前

6、弱加密风险检测

6.1 禁止使用弱加密算法

安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法，现代计算机的计算能力使得攻击者经过暴力破解能够攻破强度弱的算法。例如，数据加密标准算法DES(密钥默认是56位长度、算法半公开、迭代次数少)是极度不安全的，使用相似EFF（Electronic Frontier Foundaton）Deep Crack的计算机在一天内能够暴力破解由DES加密的消息。

使用DES弱加密算法，样例

风险代码：

SecretKeySpec key = new SecretKeySpec(rawKeyData, DES);

Cipher cipher = Cipher.getInstance(DES/ECB/PKCS5Padding);

cipher.init(Cipher.DECRYPT\_MODE, key);

开发建议

建议使用安全性更高的AES加密算法

规范 6.2 不安全的密钥长度风险

在使用RSA加密时，密钥长度小于512bit，小于512bit的密钥很容易被破解，计算出密钥。

风险代码：

public static KeyPair getRSAKey() throws NoSuchAlgorithmException {

        KeyPairGenerator keyGen = KeyPairGenerator.getInstance(RSA);

        keyGen.initialize(512);

        KeyPair key = keyGen.generateKeyPair();

        return key;

      }

开发建议

使用RSA加密时，建议密钥长度大于1024bit

6.3 AES/DES弱加密风险（ECB）

AES的ECB加密模式容易遭到字典攻击，安全性不够。

风险代码：

SecretKeySpec key = new SecretKeySpec(keyBytes, AES);

**Cipher cipher = Cipher.getInstance(AES/ECB/PKCS7Padding, BC);**

cipher.init(Cipher.ENCRYPT\_MODE, key);

开发建议

避免使用ECB模式，建议使用CBC。

6.4 IVParameterSpec不安全初始化向量

使用IVParameterSpec函数，若是使用了固定的初始化向量，那么密码文本可预测性高得多，容易受到字典攻击等。

风险代码：

byte[] iv = { 0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00 };

IvParameterSpec ips = new IvParameterSpec(iv)

开发建议

IVParameterSpec初始化时，不使用常量vector。

6.5 RSA中不使用Padding风险

使用RSA公钥时一般会绑定一个padding，缘由是为了防止一些依赖于no padding时对RSA算法的攻击。

风险代码：

Cipher rsa = null;

try {

  rsa = javax.crypto.Cipher.getInstance(RSA/NONE/NoPadding);

}catch (java.security.NoSuchAlgorithmException e) {}

catch (javax.crypto.NoSuchPaddingException e) {}

SecretKeySpec key = new SecretKeySpec(rawKeyData, RSA);

Cipher cipher = Cipher.getInstance(RSA/NONE/NoPadding);

cipher.init(Cipher.DECRYPT\_MODE, key);

开发建议

建议使用Padding模式。

6.6 KeyStore弱密码风险

keytool是一个Java数据证书的管理工具，Keytool将密钥(key，私钥和公钥配对)和证书(certificates)存在一个称为keystore的文件中，并经过密码保护keystore中的密钥。若是密码设置过于简单，例如：12345六、android等，则会致使keystore文件的私钥泄露，从而致使一系列的信息泄露风险。

开发建议

提升keystore保护密码的强度

7、数据安全

7.1 剪贴板敏感信息泄露风险

因为Android剪贴板的内容向任何权限的app开放，很容易就被嗅探泄密。同一部手机中安装的其余app，甚至是一些权限不高的app，均可以经过剪贴板功能获取剪贴板中的敏感信息。

风险代码：

clipBtn = (Button) findViewById(R.id.btn\_clip);

        clipBtn.setOnClickListener(new OnClickListener() {

            @Override

            public void onClick(View v) {

                ClipboardManager clipboard = (ClipboardManager) getSystemService(Context.CLIPBOARD\_SERVICE);

                ClipData clip1 = ClipData.newPlainText(label,password=123456);

                clipboard.setPrimaryClip(clip1);

            }

        });

开发建议

避免使用剪贴板敏文存储敏感信息或进行加密

7.2 密钥硬编码风险

在代码中禁止硬编码私钥等敏感信息，攻击者反编译代码，便可拿到。

7.3 Intent敏感数据泄露

APP建立Intent传递数据到其余Activity，若是建立的Activity不是在同一个Task中打开，就极可能被其余的Activity劫持读取到Intent内容，跨Task的Activity经过Intent传递敏感信息是不安全的。

开发建议

尽可能避免使用包含FLAG_ACTIVITY_NEW_TASK标志的Intent来传递敏感信息。

7.4 PendingIntent误用风险

使用pendingIntent时候，若是使用了一个空Intent，会致使恶意用户劫持Intent的内容。禁止使用空intent去构造pendingIntent。

开发建议

禁止使用空intent去构造pendingIntent。

7.5 数据或程序(DEX、SO)加载、删除检查

程序在加载外部dex、so文件是否判断文件来源、是否存放可信区域；程序删除文件是否可篡改文件路劲

1. 是否加载公共区域程序，如sdcard、/data/local/tmp/、应用自建立但其余应用有读写权限的目录上
2. 是否从网络下载，检测方法包括：阅读代码、监听网路请求、见识存储区域文件读写、查看安装包
3. 升级包是否存在公共区域存储。

7.6 文件全局读写漏洞

在使用getDir、getSharedPreferences(SharedPreference)或openFileOutput时，若是设置了全局的可读权限，攻击者恶意读取文件内容，获取敏感信息。在设置文件属性时若是设置全局可写，攻击者可能会篡改、伪造内容，可能会进行诈骗等行为，形成用户财产损失。其中getSharedPreferences若是设置全局写权限，则当攻击app跟被攻击app具备相同的Android:sharedUserId属性时和签名时，攻击app则能够访问到内部存储文件进行写入操做。

开发建议

1. 使用MODE_PRIVATE模式建立内部存储文件
2. 加密存储敏感数据
3. 避免在文件中存储明文敏感信息
4. 避免滥用Android:sharedUserId属性

若是两个appAndroid:sharedUserId属性相同，切使用的签名也相同，则这两个app能够互相访问内部存储文件数据

7.7 日志泄露风险

在APP的开发过程当中，为了方便调试，一般会使用log函数输出一些关键流程的信息，这些信息中一般会包含敏感内容，如执行流程、明文的用户名密码等，这会让攻击者更加容易的了解APP内部结构方便破解和攻击，甚至直接获取到有价值的敏感信息。

开发建议

禁止打印敏感信息

8、其余风险

8.1 谨慎使用高风险函数

在程序须要执行系统命令等函数，须要谨慎使用，严格控制命令来源，防止黑客替换命令攻击。

风险代码：

Example Java code:

  Runtime rr = Runtime.getRuntime();

  Process p = rr.exec(ls -al);

Example Bytecode code:

  const-string v2, ls -al

  invoke-virtual {v1, v2}, Ljava/lang/Runtime;->exec(Ljava/lang/String;)Ljava/lang/Process;

开发建议

严格按照要求使用

8.2 Fragment注入漏洞(CVE-2013-6271)

在api level 小于19的app，全部继承了PreferenceActivity类的activity并将该类置为exported的应用都受到Fragment注入漏洞的威胁。

Google在Android 4.4 KitKat 里面修正了该问题，引入了PreferenceActivity.isValidFragment函数，要求用户重写该函数验证Fragment来源正确性。

开发建议

1. 当Android api >=19时，要覆盖每个PreferenceActivity类下的isValidFragment方法以免异常抛出；
2. 当Android api < 19时，若是在PreferenceActivity内没有引用任何fragment，建议覆盖isValidFragment并返回false

影响范围

小于Android 4.4（API level 19）

8.3 SQLite数据库日志泄露漏洞(CVE-2011-3901)

Android SQLite数据库journal文件可被全部应用程序读取，全部目录对应程序数据库目录拥有执行权限，意味着应用程序数据目录全局访问，/data/data/<app package>/databases目录以[rwxrwx--x]权限建立，可致使全局读写。数据库目录下建立的journal文件以[-rw-r--r--]权限建立，可被全部app读取。

开发建议

升级到Android4.0.1以上版本或者使用SQLCipher或其余库加密数据库和日志信息。

影响范围

Android2.3.7版本存在该漏洞，其余版本可能也受到影响，4.0.1不受影响

8.4 随机数生成漏洞

SecureRandom的使用不当会致使生成的随机数可被预测，该漏洞存在于Android系统随机生成数字串安全密钥的环节中。该漏洞的生成缘由是对SecureRandom类的不正确使用方式致使生成的随机数不随机。

风险代码：

SecureRandom secureRandom = new SecureRandom();

        byte[] b = new byte[] { (byte) 1 };

        secureRandom.setSeed(b);

        // Prior to Android 4.2, the next line would always return the same number!

        Log.v(wgc,-------------------------------);

        Log.v(wgc,Test1: + secureRandom.nextInt());

        SecureRandom secureRandom2 = new SecureRandom(new byte[] { (byte) 1 });

        Log.v(wgc,Test2: + secureRandom2.nextInt());

        SecureRandom secureRandom3 = new SecureRandom();

        secureRandom3.setSeed(10L);

        Log.v(wgc,Test3: + secureRandom3.nextInt())

        SecureRandom secureRandom4 = new SecureRandom();

        secureRandom4.nextBytes(b);

        secureRandom4.setSeed(10L);

        Log.v(wgc,Test4: + secureRandom4.nextInt());

        SecureRandom secureRandom5 = new SecureRandom();

        Log.v(wgc,Test5: + secureRandom4.nextInt());

开发建议

1. 不要使用自定义随机源代替系统默认随机源（推荐）除非有特殊需求，在使用SecureRandom类时，不要调用如下函数:SecureRandom类下SecureRandom(byte[]seed)、setSeed(long seed)和setSeed(byte[]seed)方法。
2. 在调用setSeed方法前先调用任意nextXXX方法。具体作法是调用setSeed方法前先调用一次SecureRandom#nextBytes(byte[]bytes)方法，能够避免默认随机源被替代，详细见参考资料。

影响范围

Android 4.2以前，Android API 17之后SecureRandom的默认实现方式从Cipher.RSA换到了OpenSSL。SecureRandom新的实现方式不能将本身的seed替换掉系统的seed。

8.5 发布版本需加固

发布的软件，应对app进行加固，防止攻击者获取app代码、业务逻辑、API接口等，对业务和公司声誉形成必定影响，防止app被破解二次打包，致使损失。

开发建议 APP加固

---

内容编辑：汤青松

更新时间：2019-09-03