Android研发安全1-Activity组件安全（上）

       Activity组件是用户惟一能看见的组件，做为软件全部功能的显示载体，其安全性不言而喻。针对Activity组件安全，做为一个安卓开发者来说须要在平常开发过程当中注意两点：
- Activity访问权限的控制
- Activity被劫持

本篇文章将分享Activity访问权限控制方面的安全问题，首先科普下基础知识

研发基础知识

Activity分类

       Activity类型和使用方式决定了其风险和防护方式,故将Activity分类以下： Private、Public、Parter、In-house

Intent简介

       Android中提供了Intent机制来协助应用间的交互与通信，Intent负责对应用中一次操做的动做、动做涉及数据、附加数据进行描述，Android则根据此Intent的描述，负责找到对应的组件，将 Intent传递给调用的组件，并完成组件的调用。Intent不只可用于应用程序之间，也可用于应用程序内部的Activity/Service之间的交互。所以，Intent在这里起着一个媒体中介的做用，专门提供组件互相调用的相关信息，实现调用者与被调用者之间的解耦。在SDK中给出了Intent做用的表现形式为：

• 经过Context.startActivity() orActivity.startActivityForResult()
  启动一个Activity；
• 经过 Context.startService() 启动一个服务，或者经过Context.bindService() 和后台服务交互；

• 经过广播方法(好比 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
  Context.sendStickyBroadcast()) 发给broadcast receivers。

  Intent可分为隐式（implicitly）和显式（explicitly）两种：

（1）显式 Intent

       即在构造Intent对象时就指定接收者，它通常用在知道目标组件名称的前提下，通常是在相同的应用程序内部实现的，以下：

Intent intent = new Intent(MainActivit.this, NewActivity.class);
startActivity(intent );

上面那个intent中，直接指明了接收者：NewActivity

（2）隐式 Intent

       即Intent的发送者在构造Intent对象时，并不知道也不关心接收者是谁，有利于下降发送者和接收者之间的耦合，它通常用在没有明确指出目标组件名称的前提下，通常是用于在不一样应用程序之间，以下：

Intent intent = new Intent();
intent.setAction("com.wooyun.test");
startActivity(intent);

       上面那个intent，没有指明接收者，只是给了一个action做为接收者的过滤条件。

       对于显式Intent，Android不须要去作解析，由于目标组件已经很明确，Android须要解析的是那些隐式Intent，经过解析，将Intent映射给能够处理此Intent的Activity、IntentReceiver或Service。

android:exported属性

       在Activity中该属性用来标示：当前Activity是否能够被外部程序启动：true容许被启动；false不容许被启动。这里的外部程序指的是签名不一样、用户ID不一样的程序，签名相同用户ID相同的程序在执行时桐乡同一个进程空间，批次之间是没有组件访问限制的。

      该属性若是被设置为了false，那么这个Activity将只会被当前Application或者拥有一样用户ID的Application的组件调用。

       exported 的默认值根据Activity中是否有intent filter来定。没有任何的filter意味着这个Activity只有在详细的描述了他的class name后才能被唤醒。这意味着这个Activity只能在应用内部使用，由于其它application并不知道这个class的存在。因此在这种状况下，它的默认值是false。从另外一方面讲，若是Activity里面至少有一个filter的话，意味着这个Activity能够被其它应用从外部唤起，这个时候它的默认值是true。

android:protectionLevel属性

       对于须要付费的操做以及可能涉及到用户隐私的操做，Android中提供android:protectionLevel属性，能够对一些访问进行了限制，如网络访问（需付费）以及获取联系人（涉及隐私）等。应用程序若是想要进行此类访问，则须要申请相应权限。Android对这些权限进行了四类分级，不一样级别的权限对应不一样的认证方式。

normal:默认值。低风险权限，只要申请了就可使用，安装时不须要用户确认。

dangerous：像WRITE_SETTING和SEND_SMS等权限是有风险的，由于这些权限可以用来从新配置设备或者致使话费。使用此protectionLevel来标识用户可能关注的一些权限。Android将会在安装程序时，警示用户关于这些权限的需求，具体的行为可能依据Android版本或者所安装的移动设备而有所变化。

signature：这些权限仅授予那些和本程序应用了相同密钥来签名的程序。

signatureOrSystem:与signature相似，除了一点，系统中的程序也须要有资格来访问。这样容许定制Android系统应用也能得到权限，这种保护等级有助于集成系统编译过程。

Activity组件已知产生的安全问题

1. 恶意调用页面
2. 恶意接收数据
3. 恶意发送广播、启动应用服务
4. 调用组件，恶意接收组件返回的数据

乌云网漏洞报告实例

1快玩浏览器android客户端本地拒绝服务

2雪球android客户端本地拒绝服务漏洞

3Tencent Messenger(QQ) Dos vulnerability(critical)

4Tencent WeiBo multiple Dos vulnerabilities(critical)

5Android原生的Settings应用存在必现崩溃问题（可形成拒绝服务攻击） (涉及fragment)

6隐式启动intent包含敏感数据,攻击模型以下图：

研发人员该如何预防

private activity

      私有Activity不该被其余应用启动且应该确保相对是安全的

关于Intent的使用

• 谨慎处理接收的Intent以及其携带的信息
• 当Activity返回数据时候需注意目标Activity是否有泄露信息的风险
• 目标Activity十分明确时尽可能使用显示启动
• 谨慎处理Activity返回的数据，目的Activity返回的数据有多是恶意应用伪造的
• 验证目标Activity是否恶意app，以避免受到Intent欺骗，可用hash签名验证
• 尽量的不发送敏感信息，应考虑到启动public Activity中Intent的信息均有可能被恶意应用窃取的风险

设置android:exported属性

      不须要被外部程序调用的组件应该添加android:exported=”false”属性，这个属性说明它是私有的，只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。

<activity android:name=".HomeActivity" android:label="@string/app_name" android:screenOrientation="portrait" android:exported="false">

设置特定组件的访问权限

      对于但愿Activity可以被特定的外部程序访问，能够为其设置访问权限，具体作法有三种：

（1）组件添加android：permission属性。

<activity android:name=".AnotherActivity" ndroid:label="@string/app_name" android:permission="com.wooyun.custempermission">
</activity>

（2）protectionLevel权限声明

exported属性只是用于限制Activity是否暴露给其余app，经过配置文件中的权限申明也能够限制外部启动activity

<permission android:description="wooyun" android:label="wooyun" android:name="com.wooyun.custempermission" android:protectionLevel="normal">    
</permission>

protectionLevel有四种级别normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem时，只有相同签名时才能调用。

（3）声明

<uses-permission android:name="com.wooyun.custempermission" />

总结 这样声明的Activity在被调用时，Android就会检查调用者是否具备com.wooyun.custempermission权限，若是没有就会触发SecurityException异常。

暴露组件的代码检查

      Android 提供各类 API 来在运行时检查、执行、授予和撤销权限。这些 API是 android.content.Context 类的一部分，这个类提供有关应用程序环境的全局信息。

if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")  
        != PackageManager.PERMISSION_GRANTED) {  
            // The Application requires permission to access the 
            // Internet"); 
} else {  
    // OK to access the Internet 
}