《Android攻防实战》读书笔记——保护App安全

保护app组件

• 保护app组件的途径有两条：1.正确使用AndroidMenifest.xml文件 2.在代码层面上强制进行权限检查

AndroidManifest 文件加固

• AndroidManifest文件中的 android:exported 定义是否允许组件被其它app调用，如果app中的组件不需要被其它app调用，或者需要明确的与android系统其它部分的组件的交互隔离开的话，应该在AndroidManifest文件中加入如下属性：

<[组件名]android:exported = false></组件名>

原理

• 通过AndroidManifest.xml文件进行权限检查对于不同类型的app组件，作用是不同的，因为它们是通过不同的进程间通信(IPC)机制进行交互的，不同的app组件，android:permission的作用是不同的

效果

• Activity:使得外部app中的组件，不能成功使用startActivity或startActivityForResult运行相应的Activity
• Service：使外部app中的组件不能绑定(通过调用bindService())或启动(通过调用startService())相应的Service
• Receiver 限制能向该receiver发送广播intent的外部app组件的数量
• Provider 对能通过该content provider访问的数据进行访问限制

通过定制权限保护组件

Android平台定义了一系列用于保护系统服务和app组件的默认权限，可以对权限进行调整和定制

做法

• 在string.xml中声明表示permission标签的字符串

<string name= "custom_permission_label">Custom Permission</string>

• 在app中添加保护级别为normal的定制权限

在AndroidManifest.xml中<permission android:name = "android.permission.CUSTOM_PERMISSION"android:protextionLevel = "normal"android:description = "My custom permission"android:label = "@string/custom_permission_label">

• 在组件中使用，为了让这个权限能和其他权限一样工作，需要将它添加到app中某个组件的android:permission属性中去
  
  • activity
    
<activity ...
android:permission = "android.permission.CUSTOM_PERMISSION">
</activity>

  • content provider
    
<provider ...
android:permission = "android.permission.CUSTOM_PERMISSION">
</provider>

    *service
    
<service ...
android:permission = "android.permission.CUSTOM_PERMISSION">
</service>

• 也可以通过声明user-permission的方式让其它app也能请求这一权限

<uses-permission android:name="android.permission.CUSTOM_PERMISSION"/>

定义权限组

• 定制的权限还可以在逻辑上分组，可以通过分配语法，告知请求一个给定权限的app或者请求某几个权限的组件，

做法

1. 添加一个表示权限组的标签(label)的字符串，可以在string.xml中添加

<string name = "my_permissions_group_label">Personal Data Access</string>

2.在AndroidManifest.xml中添加

<permission-groupandroid:name = "android.permissions.personal_data_access_group"android:label ="@string/my_permissions_group_label"android:description = "Permissions that allow access to personaldata">

1. 分配定义的权限到组中

<permission ...android:permissionGroup = "android.permission.personal_data_acess_group"/>

标签解释

• android:name 定义名称
• androidprotectionLevel:定义权限的保护级别
  
  • normal:定义非危险级别
  • dagerous:定义那些会使用户暴露在财务、名誉、或法律风险下权限
  • signature:自动赋予那些由定义该权限的app相同签名的app
  • signatureOrSystem:该权限会被自动赋予那些作为系统镜像的一部分或者有定义该权限的app相同签名的app

保护content provider路径

• 确保已经为之注册了适当权限

做法

• 需要设置一个用于管理所有与你的认证相关路径的读和写权限的permission，在AndroidManifest 添加provider元素

<provider android:enabled = "true" android:exported = "true" android:authorities = "com.android.myAuthority android:name = "com.myapp.provider"android:permission="[permission name]">

• permission name 是其他app在读或写任何content provider路径时必须拥有的权限。把相关权限添加在这一级别

可以要求提供读写权限<provider android:writePermission = "[write permission name]"    android:readPermission = "[read permission name]"></provider>

• 还可以加入元素

<provider...><path-permission android:path = "/[path name]"android:permission = "[read/write permission name]"</provider>

• 可以使用URI授权

<provider...><grant-uri-permission android:path="[path name]"/></provider>

防御SQL注入攻击

• 避免使用SQLiteDatabase.rawQuery() 改用一个参数化的语句，将参数转换

INSERT VALUES INTO [table name](?,?,?,?,....)

验证App签名 (防篡改)

*通过获取keytool工具签名时的证书指纹 SHA1，与app中读取出来的指纹进行比较。

* 获取当前运行的app的指纹代码： public String getCertificateSHA1Fingerprint(Context context) {        //获取包管理器        PackageManager pm = context.getPackageManager();        //获取当前要获取 SHA1 值的包名，也可以用其他的包名，但需要注意，        //在用其他包名的前提是，此方法传递的参数 Context 应该是对应包的上下文。        String packageName = context.getPackageName();        //返回包括在包中的签名信息        int flags = PackageManager.GET_SIGNATURES;        PackageInfo packageInfo = null;        try {            //获得包的所有内容信息类            packageInfo = pm.getPackageInfo(packageName, flags);        } catch (PackageManager.NameNotFoundException e) {            e.printStackTrace();        }        //签名信息        Signature[] signatures = packageInfo.signatures;        byte[] cert = signatures[0].toByteArray();        //将签名转换为字节数组流        InputStream input = new ByteArrayInputStream(cert);        //证书工厂类，这个类实现了出厂合格证算法的功能        CertificateFactory cf = null;        try {            cf = CertificateFactory.getInstance("X509");        } catch (Exception e) {            e.printStackTrace();        }        //X509 证书，X.509 是一种非常通用的证书格式        X509Certificate c = null;        try {            c = (X509Certificate) cf.generateCertificate(input);        } catch (Exception e) {            e.printStackTrace();        }        String hexString = null;        try {            //加密算法的类，这里的参数可以使 MD4,MD5 等加密算法            MessageDigest md = MessageDigest.getInstance("SHA1");            //获得公钥            byte[] publicKey = md.digest(c.getEncoded());            //字节到十六进制的格式转换            hexString = byte2HexFormatted(publicKey);        } catch (NoSuchAlgorithmException e1) {            e1.printStackTrace();        } catch (CertificateEncodingException e) {            e.printStackTrace();        }        return hexString;    }    //这里是将获取到得编码进行16 进制转换    private String byte2HexFormatted(byte[] arr) {        StringBuilder str = new StringBuilder(arr.length * 2);        for (int i = 0; i < arr.length; i++) {            String h = Integer.toHexString(arr[i]);            int l = h.length();            if (l == 1)                h = "0" + h;            if (l > 2)                h = h.substring(l - 2, l);            str.append(h.toUpperCase());            if (i < (arr.length - 1))                str.append(':');        }        return str.toString();    }

通过检测安装程序、模拟器、调试标志位反逆向

• 检查发布渠道是否正常
• 检查自己是不是运行在一个模拟器中
• 检查app的可调式标识位是否被打开

用ProGuard 删除所有日志信息

• ProGuard是一个开源的java代码混淆器，Android SDK自带这个工具
• Android studio 环境中设置

  minifyEnabled true            proguardFile file('proguard-rules.pro')            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'

用GexGuard进行高级代码混淆

• GexGuard要比ProGuard的可维护性和可测试性更多，编译和输出则是经过优化和加固的。使用GexGuard可以获得更多的安全性，同时，它还具有：API隐藏和字符串加密的特性

  • API隐藏：使用API的反射机制对敏感API和代码的调用。
  • 字符串加密：把源代码中的字符串加密，增加逆向的难度

• DexGuard是收费的，但是对于一个公司来说是可以承受的

• DexGuard要比Proguard要强大，提供资源文件的混淆，和代码修改的检测