Android研发安全1-Activity组件安全（上）

       Activity组件是用户唯一能看见的组件，作为软件所有功能的显示载体，其安全性不言而喻。针对Activity组件安全，作为一个安卓开发者来讲需要在日常开发过程中注意两点：
- Activity访问权限的控制
- Activity被劫持

本篇文章将分享Activity访问权限控制方面的安全问题，首先科普下基础知识

研发基础知识

Activity分类

       Activity类型和使用方式决定了其风险和防御方式,故将Activity分类如下： Private、Public、Parter、In-house

Intent简介

       Android中提供了Intent机制来协助应用间的交互与通讯，Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述，Android则根据此Intent的描述，负责找到对应的组件，将 Intent传递给调用的组件，并完成组件的调用。Intent不仅可用于应用程序之间，也可用于应用程序内部的Activity/Service之间的交互。因此，Intent在这里起着一个媒体中介的作用，专门提供组件互相调用的相关信息，实现调用者与被调用者之间的解耦。在SDK中给出了Intent作用的表现形式为：

• 通过Context.startActivity() orActivity.startActivityForResult()
  启动一个Activity；
• 通过 Context.startService() 启动一个服务，或者通过Context.bindService() 和后台服务交互；

• 通过广播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
  Context.sendStickyBroadcast()) 发给broadcast receivers。

  Intent可分为隐式（implicitly）和显式（explicitly）两种：

（1）显式 Intent

       即在构造Intent对象时就指定接收者，它一般用在知道目标组件名称的前提下，一般是在相同的应用程序内部实现的，如下：

Intent intent = new Intent(MainActivit.this, NewActivity.class);startActivity(intent );  

上面那个intent中，直接指明了接收者：NewActivity

（2）隐式 Intent

       即Intent的发送者在构造Intent对象时，并不知道也不关心接收者是谁，有利于降低发送者和接收者之间的耦合，它一般用在没有明确指出目标组件名称的前提下，一般是用于在不同应用程序之间，如下：

Intent intent = new Intent();intent.setAction("com.wooyun.test");startActivity(intent);

       上面那个intent，没有指明接收者，只是给了一个action作为接收者的过滤条件。

       对于显式Intent，Android不需要去做解析，因为目标组件已经很明确，Android需要解析的是那些隐式Intent，通过解析，将Intent映射给可以处理此Intent的Activity、IntentReceiver或Service。

android:exported属性

       在Activity中该属性用来标示：当前Activity是否可以被外部程序启动：true允许被启动；false不允许被启动。这里的外部程序指的是签名不同、用户ID不同的程序，签名相同用户ID相同的程序在执行时桐乡同一个进程空间，批次之间是没有组件访问限制的。

      该属性如果被设置为了false，那么这个Activity将只会被当前Application或者拥有同样用户ID的Application的组件调用。

       exported 的默认值根据Activity中是否有intent filter来定。没有任何的filter意味着这个Activity只有在详细的描述了他的class name后才能被唤醒。这意味着这个Activity只能在应用内部使用，因为其它application并不知道这个class的存在。所以在这种情况下，它的默认值是false。从另一方面讲，如果Activity里面至少有一个filter的话，意味着这个Activity可以被其它应用从外部唤起，这个时候它的默认值是true。

android:protectionLevel属性

       对于需要付费的操作以及可能涉及到用户隐私的操作，Android中提供android:protectionLevel属性，可以对一些访问进行了限制，如网络访问（需付费）以及获取联系人（涉及隐私）等。应用程序如果想要进行此类访问，则需要申请相应权限。Android对这些权限进行了四类分级，不同级别的权限对应不同的认证方式。

normal:默认值。低风险权限，只要申请了就可以使用，安装时不需要用户确认。

dangerous：像WRITE_SETTING和SEND_SMS等权限是有风险的，因为这些权限能够用来重新配置设备或者导致话费。使用此protectionLevel来标识用户可能关注的一些权限。Android将会在安装程序时，警示用户关于这些权限的需求，具体的行为可能依据Android版本或者所安装的移动设备而有所变化。

signature：这些权限仅授予那些和本程序应用了相同密钥来签名的程序。

signatureOrSystem:与signature类似，除了一点，系统中的程序也需要有资格来访问。这样允许定制Android系统应用也能获得权限，这种保护等级有助于集成系统编译过程。

Activity组件已知产生的安全问题

1. 恶意调用页面
2. 恶意接收数据
3. 恶意发送广播、启动应用服务
4. 调用组件，恶意接收组件返回的数据

乌云网漏洞报告实例

1快玩浏览器android客户端本地拒绝服务

2雪球android客户端本地拒绝服务漏洞

3Tencent Messenger(QQ) Dos vulnerability(critical)

4Tencent WeiBo multiple Dos vulnerabilities(critical)

5Android原生的Settings应用存在必现崩溃问题（可造成拒绝服务攻击） (涉及fragment)

6隐式启动intent包含敏感数据,攻击模型如下图：

研发人员该如何预防

private activity

      私有Activity不应被其他应用启动且应该确保相对是安全的

关于Intent的使用

• 谨慎处理接收的Intent以及其携带的信息
• 当Activity返回数据时候需注意目标Activity是否有泄露信息的风险
• 目标Activity十分明确时尽量使用显示启动
• 谨慎处理Activity返回的数据，目的Activity返回的数据有可能是恶意应用伪造的
• 验证目标Activity是否恶意app，以免受到Intent欺骗，可用hash签名验证
• 尽可能的不发送敏感信息，应考虑到启动public Activity中Intent的信息均有可能被恶意应用窃取的风险

设置android:exported属性

      不需要被外部程序调用的组件应该添加android:exported=”false”属性，这个属性说明它是私有的，只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。

<activity            android:name=".HomeActivity"            android:label="@string/app_name"            android:screenOrientation="portrait"             android:exported="false">

设置特定组件的访问权限

      对于希望Activity能够被特定的外部程序访问，可以为其设置访问权限，具体做法有三种：

（1）组件添加android：permission属性。

<activity android:name=".AnotherActivity"         ndroid:label="@string/app_name"          android:permission="com.wooyun.custempermission"></activity>

（2）protectionLevel权限声明

exported属性只是用于限制Activity是否暴露给其他app，通过配置文件中的权限申明也可以限制外部启动activity

<permission android:description="wooyun"            android:label="wooyun"            android:name="com.wooyun.custempermission"            android:protectionLevel="normal">    </permission>

protectionLevel有四种级别normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem时，只有相同签名时才能调用。

（3）声明

<uses-permission android:name="com.wooyun.custempermission" />

总结 这样声明的Activity在被调用时，Android就会检查调用者是否具有com.wooyun.custempermission权限，如果没有就会触发SecurityException异常。

暴露组件的代码检查

      Android 提供各种 API 来在运行时检查、执行、授予和撤销权限。这些 API是 android.content.Context 类的一部分，这个类提供有关应用程序环境的全局信息。

if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")          != PackageManager.PERMISSION_GRANTED) {              // The Application requires permission to access the                // Internet");  } else {      // OK to access the Internet  }