Android应用常见问题

应用安全常见问题及解决方案（2018年9月15日）
Android应用常见问题
1.组件问题
2.Url绕过问题
3.中间人攻击
4.Webview漏洞

Drozer 是一 款 Android 安全测试 框架
Burp Suite
flowdroid 是一 款针对 Android app 数据流分析工具

组件问题

组件暴露 --调用隐藏功能、拒绝服务
组件含有权限未设置保护 --·执行高权限功能
组件配置失当 --造成的被劫持问题（隐式调用被劫持）
造成影响
1.拒绝服务
2.调用未授权界面（甚至后门）

解决方案： Drozer 是一 款 Android 安全测试 框架

Url 绕过问题

• 路径遍历漏洞

问题应用/SDK大量使用路径/Url作为参数，如果
不校验路径的合法性，容易导致路径遍历攻击
• Android 平台最典型的路径遍历漏洞是ZipEntry，
URL路径遍历问题跟传统的web相同。

• Url白名单绕过

Webview组件加载url，但是使用者并不一定希望
webview组件任何网页都可以加载，因此会实现一
个白名单函数约束加载的网页
• 常见约束ur的函数有contains()、indexOf()、
endwith()、getHost()等等。

URL 绕过问题解决方案

• URL白名单存在场景：
• Android:scheme属性
• 暴露组件
• 扫一扫
• 聊天输入
• 评论
不安全校验函数(进行校验)
• contains()
• indexOf()
• endwith()
• getHost()
• getPathSegments()

中间人攻击
Http中间人攻击 --所有http都可以被中间人攻击
Https中间人攻击

漏洞位置：X509TrustManager 、HostnameVerifier 、 setHostnameVerifier
漏洞触发前提条件：
（1）自定义的X509TrustManager不校验证书；
（2）或实现的自定义HostnameVerifier不校验域名接受任意域名；
（3）使用setHostnameVerifier (ALLOW_ALL_HOSTNAME_VERIFIER)；
对应场景：
（1）客户端不校验SSL证书或者校验逻辑有误
（2）自定义实现HostnameVerifier接口，却不检查站点域名和证书域名是否匹配
（3）直接使用接受任意域名的HostnameVerifier接口

解决方案：Burp Suite

Webview 漏洞
• WebView远程代码执行(4.3版本以前）
• CVE-2012-6636 addJavascriptInterface 利用该漏洞执行任意Java对象的
方法
CVE-2013-4710 openFile 同源绕过
File 域控制不严
• setAllowFileAccessFromFileURLs
• setAllowUniversalAccessFromFileURLs
• setAllowFileAccess + setJavaScriptEnabled(true)
• 信息泄露
• 密码明文存储 setSavePassword (true)（4.4版本前）
• 地理位置泄露 setGeolocationEnabled
Url 外部可控
• loadUrl (String url)
• loadUrl (String url, Map<String, String> additionalHttpHeaders)
• loadData(String data, String mimeType, String encoding)
• loadDataWithBaseURL(String baseUrl, String data, String mimeType,
String encoding, String historyUrl)

大量暴露javascript接口

通过代码跟踪发现，这个接口可以执行很多操作。例如发短信、打电话、下载应用等等功能
利用方式：将js脚本中间人注入到该应用的webview交互返回的报文中即可

Webview 漏洞解决方案
扫描代码关键字：
1、setSavePassword
2、setGeolocationEnabled
3、setAllowFileAccessFromFileURLs
4、setAllowUniversalAccessFromFileURLs
5、setAllowFileAccess
6、setJavaScriptEnabled
7、@JavascriptInterface
8、setAllowContentAccess

如何检查应用内的隐私泄露？
flowdroid 是一 款针对 Android app 数据流分析工具
工具路径： https :// github.com/secure- - software- - engineering/FlowDroid
source --------- sink
工具分析信息流所有可能的路径，追踪从 source 到 sink 的所有数据流。
source ：账号 密码、联系人、短信、数据库、 IMEI 等敏感数据
sink ：因特网 、存储卡 、 log 打印、 短信发送