安全小课堂第139期【APP安全之四大组件漏洞】

京安小妹：APP面临的主要风险存在哪几个点？

Lemon师傅:

测试工具环境准备：

JDK：因为Android应用都包含J*A外壳，所以J*A环境是必要的。没有J*A，就没有apktool、Eclipse、jarsigner;

ADT：ADT中除了神器adb（AndroidDebug Bridge）和Monitor，还包含了Emulator虚拟机和Eclipse开发环境；另有较为新锐的替代品Android Studio;

GDB：作为大名鼎鼎的跨平台调试工具，GDB在实际测试中主要用于DUMP内存，从而发现敏感信息、解密数据、脱壳等等；

NDK：NDK可以在Windows上编译Android(arm)使用的Native层可执行文件（C/C++），各项Native层测试工具都可用NDK制作；

安卓设备：已root的真实手机/Emulator，不推荐x86虚拟机（VirtualBox/Genymotion）;

x86虽然运行快，但是兼容性不佳，尤其客户APP涉及Native层时有时会出现莫名其妙的异常;

网络流量处理工具: 

BurpSuite/Fiddler：针对HTTP进行各种操作的利器;

Wireshark：偶尔遇到不走HTTP的APP时，定位代码用;

APK文件处理工具:

ApkTool：功能众多，主要用来解包和打包Apk文件;

SignApk：对Apk文件进行签名，否则无法安装运行;

Dalvik反编译工具:

Dex2Jar：将Dex文件转换为Jar文件，便于反编译J*A;

Smali2Java：直接从APK中反编译J*A;

通用逆向分析工具:

JD-GUI/Luyten：可以反编译Class/Jar文件，在Dex2Jar之后使用;

IDA：当APP存在Native层代码时，用于进行逆向分析;

Xposed框架：

XposedBridge：JAR文件，Xposed开发所必需的接口库;

XposedInstaller：APK文件，Xposed运行环境，注意5.0前后版本不同;

JustTrustMe:

Xposed模块，能够解除绝大多数常见SSL函数库的证书校验;

注：通过修改本地客户端的方法实现的通信加密攻击不能记为风险;

BlockSecureFlag：

Xposed模块，能够解除所有APP的FLAG_SECURE设置;

注：适用于截屏时提示“内存不足XXXX”的场景;

Surrogate：

Xposed模块，能够手动配置修改任意函数的返回值，多用于固定化随机密钥;

注：灵活性不如XPOSED开发，但使用方便，适合开发基础不深的同学;

京安小妹：上面提到的组件漏洞能简单介绍下么？

安卓APP以组件为单位进行权限声明和生命周期管理；

安卓系统的四大组件：

Activity：呈现可供用户交互的界面，是最常见的组件；

Service：长时间执行后台作业，常见于监控类应用；

ContentProvider：在多个APP间共享数据，比如通讯录；

BroadcastReceiver：注册特定事件，并在其发生时被激活

权限声明：

如果一个APP或组件在没有声明权限的情况下就调用相关API，会被拒绝访问；但如果声明了相关权限，安装的时候就会有提示；这样一来，用户就可以评估使用该APP可能带来的风险。

组件导出的危害：

因为权限声明是以组件为单位的，A组件调用B组件的功能来访问操作系统API时，适用于B组件的权限声明。如果B作为导出组件，没有进行严格的访问控制，那么A就可以通过调用B来访问原本没有声明权限的功能，构成本地权限提升。

四大组件漏洞分别为Activity组件漏洞、Service组件、BroadcastReceiver导出漏洞、Content Provider组件漏洞。

Activity是Android组件中最基本也是最为常见用的四大组件之一，是一个负责与用户交互的组件。Activity组件中存在以下常见的漏洞。 (1)activity绑定browserable与自定义协议activity设置“android.intent.category.BROWSABLE”属性并同时设置了自定义的协议android:scheme意味着可以通过浏览器使用自定义协议打开此activity。可能通过浏览器对app进行越权调用。(2)ActivityManager漏洞ActivityManager类中的killBackgroundProcesses函数，用于杀死进程，属于风险API。还有通过ActivityManager被动嗅探intent。Intent嗅探脚本首先调用一个Context.getSystemService()函数，并传给它一个ACTIVITY_SERVICE标志的标识符，该函数返回一个ActivityManager类的实例，它使得该脚本能够与activitymanager进行交互，并通过这个对象调用ActivityManager.getRecentTasks()方法。最后把intent相关的信息格式化成字符串返回出来。

Service具有和Activity一样的级别，只是没有界面，是运行于后台的服务。其他应用组件能够启动Service，并且当用户切换到另外的应用场景，Service将持续在后台运行。另外，一个组件能够绑定到一个service与之交互（IPC机制），例如，一个service可能会处理网络操作，播放音乐，操作文件I/O或者与内容提供者（content provider）交互，所有这些活动都是在后台进行。从表面上看service并不具备危害性，但实际上service可以在后台执行一些敏感的操作。Service存在的安全漏洞包括：权限提升，拒绝服务攻击。没有声明任何权限的应用即可在没有任何提示的情况下启动该服务，完成该服务所作操作，对系统安全性产生极大影响。BroadcastReceiver导出漏洞：当应用广播接收器默认设置exported='true'，导致应用可能接收到第三方恶意应用伪造的广播，利用这一漏洞，攻击者可以在用户手机通知栏上推送任意消息，通过配合其它漏洞盗取本地隐私文件和执行任意代码。Android 可以在配置文件中声明一receiver或者动态注册一个receiver来接收广播信息，攻击者假冒APP构造广播发送给被攻击的receiver，是被攻击的APP执行某些敏感行为或者返回敏感信息等，如果receiver接收到有害的数据或者命令时可能泄露数据或者做一些不当的操作，会造成用户的信息泄漏甚至是财产损失。ContentProvider为存储和获取数据提供统一的接口。可以在不同的应用程序之间共享数据。

（1）读写权限漏洞Content Provider中通常都含有大量有价值的信息，比如用的电话号码或者社交帐号登录口令，而确认一个content provider是否有能被攻击的漏洞的最好的办法，就是尝试攻击它一下。可以用drozer来寻找一些不需要权限的contentprovider:dz>runapp.provider.info –permission null这条命令能列出所有不需要任何读写权限的Content Provider，然后找到相对应的包，去访问给定包存放在它的ContentProvider中的数据。如果一些Content Provider的URI不需要读权限，那就可以通过drozer工具提取其中的数据。在某些情况下，设置和执行读写权限不当，也会将ContentProvider中的数据暴露给攻击者。除了提取数据，对于写权限管理不当的ContentProvider还可以向其中写入数据，使得攻击者可以将恶意数据插入到数据库中。

（2）Content Provider中的SQL注入漏洞和Web漏洞类似，安卓APP也要使用数据库，那就也有可能存在SQL注入漏洞。主要有两类，第一类是SQL语句中的查询条件子语句是可注入的，第二类是投影操作子句是可注入的。使用drozer可以很容易的找出查询条件子句可注入的content provider。dz> runapp.provider.query [URI] –selection“1=1”也可以使用其他恒为真的值，例如“1-1=0”，“0=0”等等。如果APP存在SQL注入漏洞，那么输入这行指令后就会返回数据库中的整张表。

（3）Provider文件目录遍历漏洞当Provider被导出且覆写了openFile方法时，没有对Content Query Uri进行有效判断或过滤。攻击者可以利用openFile()接口进行文件目录遍历以达到访问任意可读文件的目的。

京安小妹：关于四大组件漏洞要如何测试？

京安小妹：如何查看四大组件的安全配置呢？