寫在前面
現在的安全檢測機構都很套路,就這些東西,跑腳本自動檢測,有的甚至也不管你里面是否已經做了保護,僅僅是有代碼存在的話,就給你報出來,讓你害怕的要命,讓你不得不掏腰包去找所謂的第三方安全公司給加殼加保護。其實,有些問題并沒有那么可怕。
本文將從個人角度,把自己之前遇到的各種檢測出來的問題做梳理,并不代表某官方,也不代表到底權威不權威,僅僅是一個分享。
下面先介紹Android問題。因為安全問題一般都發生在Android中,還是比較多的。iOS相對封閉,破解的魔爪伸向iOS的還是相對較少的。
問題列舉
- 檢測項目:重要函數邏輯安全
- 關鍵詞
函數、方法、反編譯
- 安全報告解釋
因為APK本身因為未進行專業加固保護,存在被baksmali/apktool/dex2jar直接反編譯獲取程序java代碼,如果程序的重要函數使用android ndk技術通過c/c++實現能夠提高重要函數的邏輯安全強度。 Elf格式的SO文件如果未進行專業的加固保護可能存在被ipa pro工具一鍵F5逆向出c代碼被分析的風險。
- 詳細報告
檢測出重要函數共【177】條 :
Ljava/net/URLEncoder;->encode (com/tencent/open/GameAppOperation.smali)...
... check-cast v1, Ljava/lang/String;
invoke-virtual {v1}, Ljava/lang/String;->trim()Ljava/lang/String;
move-result-object v1
const-string v15, "UTF-8"
invoke-static {v1, v15}, Ljava/net/URLEncoder;->encode(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;
move-result-object v1
invoke-virtual {v13, v1}, Ljava/lang/StringBuffer;->append(Ljava/lang/String;)Ljava/lang/StringBuffer;
:try_end_0
.catch Ljava/io/UnsupportedEncodingException; {:try_start_0 .. :try_end_0} :catch_0
.line 345
以下省略......
...
Ljava/security/KeyStore;->getInstance 、 Ljava/net/URLEncoder;->encode (com/tencent/open/utils/HttpUtils.smali)...
... .line 714
:goto_2
new-instance v5, Ljava/lang/StringBuilder;
invoke-direct {v5}, Ljava/lang/StringBuilder;-><init>()V
invoke-static {v0}, Ljava/net/URLEncoder;->encode(Ljava/lang/String;)Ljava/lang/String;
move-result-object v6
invoke-virtual {v5, v6}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v5
const-string v6, "="
invoke-virtual {v5, v6}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
以下省略......
...
Landroid/telephony/TelephonyManager;->getDeviceId 、 Landroid/telephony/TelephonyManager;->getSubscriberId 、 Landroid/telephony/TelephonyManager;->getCellLocation (com/baidu/location/aj.smali)...
... :goto_0
return-void
:cond_0
iget-object v0, p0, Lcom/baidu/location/aj;->Y:Landroid/telephony/TelephonyManager;
invoke-virtual {v0}, Landroid/telephony/TelephonyManager;->getCellLocation()Landroid/telephony/CellLocation;
move-result-object v0
invoke-direct {p0, v0}, Lcom/baidu/location/aj;->a(Landroid/telephony/CellLocation;)V
goto :goto_0
.end method
.method private f()Lcom/baidu/location/aj$a;
以下省略......
...
Ljava/net/URLDecoder;->decode (com/tencent/connect/auth/AuthAgent$FeedConfirmListener.smali)...
... move-result-object v0
move v1, v2
.line 486
:goto_0
invoke-static {v0}, Ljava/net/URLDecoder;->decode(Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
.line 487
const-string v2, "TAG"
new-instance v3, Ljava/lang/StringBuilder;
invoke-direct {v3}, Ljava/lang/StringBuilder;-><init>()V
以下省略......
...
Landroid/telephony/TelephonyManager;->getCellLocation (com/iflytek/thirdparty/ac.smali)...
... invoke-static {v0}, Lcom/iflytek/thirdparty/X;->c(Ljava/lang/String;)V
goto/16 :goto_0
:pswitch_0
:try_start_1
invoke-virtual {v0}, Landroid/telephony/TelephonyManager;->getCellLocation()Landroid/telephony/CellLocation;
move-result-object v0
check-cast v0, Landroid/telephony/cdma/CdmaCellLocation;
invoke-virtual {v0}, Landroid/telephony/cdma/CdmaCellLocation;->getBaseStationId()I
move-result v1
invoke-virtual {v0}, Landroid/telephony/cdma/CdmaCellLocation;->getNetworkId()I
以下省略......
...
Ljava/net/URLEncoder;->encode (com/autonavi/amap/mapcore/NormalMapLoader.smali)...
... const-string v7, "-"
invoke-virtual {v5, v7}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v5
const-string v7, "utf-8"
invoke-static {v0, v7}, Ljava/net/URLEncoder;->encode(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
invoke-virtual {v5, v0}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v0
invoke-virtual {v0}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;
:try_end_0
以下省略......
...
... 此次省略【172】條數據...
- 解決方案
從錯誤分析看,風險代碼均存在于第三方插件,如高德地圖插件、科大訊飛插件、定位插件(用到了百度SDK)、騰訊旗下某插件(猜測可能是uexTent)。可以將這些插件升級到最新版本,如果仍然有問題,則需要聯系開發商解決。
不過,這種問題其實主要要看app內的業務場景,如果不涉及太機密的東西,這個問題的風險并不大。
- 檢測項目:Activity最小化特權檢測
- 關鍵詞
android:exported="false",拒絕服務漏洞,intent
- 安全報告解釋
應用組件如果存在權限攻擊漏洞則該組件能夠被外部的其他組件直接調用,這樣就可能產生泄露隱私數據或者應用程序崩潰等漏洞。惡意應用可以傳遞有害數據或者命令給受害的broadcast receiver,而receiver接收到有害的數據或者命令時可能泄露數據或者做一些不當的操作。也有可能receiver去開啟其它的activity或者service,從而產生更大的危害。 activity被惡意應用開啟,可能有一下危害:修改程序的狀態或者數據;用戶被欺騙(比如用戶點擊一個惡意應用的setting,惡意應用開啟受害應用的設置,此時用戶以為在修改惡意應用的setting,這樣受害應用的設置可能被用戶無意識的修改);被調用的activity可能返回隱私的信息給惡意應用,造成數據泄露;可能會是應用程序崩潰,造成拒絕服務等漏洞。
- 詳細報告
總共檢測Activity配置代碼【15】條;
檢測到未進行正確配置的代碼【4】條;
檢測到正確配置的代碼【11】條;
未進行正確配置的代碼為:
activity android:alwaysRetainTaskState="true" android:configChanges="keyboardHidden|orientation|screenSize" android:launchMode="singleTask" android:name="org.zywx.wbpalmstar.engine.EBrowserActivity" android:screenOrientation="portrait" android:theme="@style/browser_main_theme" android:windowSoftInputMode="adjustResize|stateHidden"
activity android:launchMode="singleTask" android:name="com.tencent.tauth.AuthActivity" android:noHistory="true"
activity android:exported="true" android:launchMode="singleTop" android:name="com.club.mobile.wxapi.WXEntryActivity" android:theme="@style/plugin_uexweixin_Transparent"
activity android:exported="true" android:launchMode="singleTop" android:name="com.club.mobile.wxapi.WXPayEntryActivity" android:theme="@style/plugin_uexweixin_Transparent"
正確Activity組件配置的代碼為:
activity android:configChanges="keyboardHidden|navigation|orientation" android:name="org.zywx.wbpalmstar.platform.mam.PolicyActivity" android:windowSoftInputMode="adjustPan"
activity android:configChanges="keyboardHidden|navigation|orientation" android:name="org.zywx.wbpalmstar.platform.mam.PolicyInfoActivity" android:windowSoftInputMode="adjustPan"
activity android:launchMode="standard" android:name="org.zywx.wbpalmstar.engine.TempActivity" android:screenOrientation="portrait" android:theme="@style/browser_loading_theme"
activity android:configChanges="keyboardHidden|orientation" android:exported="false" android:name="org.zywx.wbpalmstar.plugin.uexcamera.CustomCamera" android:theme="@android:style/Theme.NoTitleBar.Fullscreen"
activity android:exported="false" android:label="@string/plugin_camera_title_activity_second" android:name="org.zywx.wbpalmstar.plugin.uexcamera.ViewCamera.SecondActivity" android:theme="@android:style/Theme.Holo.Light"
...
此處省略【6】條數據
...
- 解決方案
首先,此問題在AppCan的框架老版本中確實存在,但都不是很危險的行為。使用最新的Android引擎版本都已經盡可能解決了此問題(3.4+的版本)。但是還有很多組件必須暴露,也都已經做好了保護。
至于某些第三方插件,就不好說了。
如果某自定義插件檢測出這種問題,解決方法就是,將對應的組件在manifest文件中聲明為android:exported="false"。配置之后,在應用外將無法調用這個組件。
如果這個組件必須暴露,則需要在處理intent的地方進行判斷以及trycatch,防止惡意程序傳參后導致app中intent遍歷參數錯誤導致崩潰。
具體原理可以參考:http://jaq.alibaba.com/blog.htm?id=55
- 詳細解釋
org.zywx.wbpalmstar.engine.EBrowserActivity屬于引擎框架目前必須暴露的組件,已經做了保護處理,所以此處很安全;
.wxapi.WXPayEntryActivity和.wxapi.WXPayEntryActivity都是uexWeixin插件必備的組件,也可以放心跳過;
com.tencent.tauth.AuthActivity是騰訊微博中的必備組件。
- 檢測項目:Intent檢測
- 關鍵詞
Intent、拒絕服務漏洞
- 詳細報告
檢測出隱式Intent跳轉【92】條 :
android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW...
... aput-object v8, v6, v7
invoke-static {v1, v2, v3, v6}, Lcom/tencent/connect/a/a;->a(Landroid/content/Context;Lcom/tencent/connect/auth/QQToken;Ljava/lang/String;[Ljava/lang/String;)V
.line 386
new-instance v1, Landroid/content/Intent;
const-string v2, "android.intent.action.VIEW"
invoke-direct {v1, v2}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V
move-object/from16 v0, p0
iput-object v1, v0, Lcom/tencent/open/GameAppOperation;->mActivityIntent:Landroid/content/Intent;
.line 387
move-object/from16 v0, p0
以下省略......
... (com/tencent/open/GameAppOperation.smali)
android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW...
... if-eqz p1, :cond_0
.line 483
:cond_2
new-instance v0, Landroid/content/Intent;
const-string v1, "android.intent.action.VIEW"
invoke-direct {v0, v1}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V
.line 484
const/high16 v1, 0x10000000
invoke-virtual {v0, v1}, Landroid/content/Intent;->addFlags(I)Landroid/content/Intent;
.line 485
以下省略......
... (org/zywx/wbpalmstar/engine/EUtil.smali)
android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW...
... .catch Ljava/io/IOException; {:try_start_1 .. :try_end_1} :catch_0
.line 642
:goto_2
new-instance v1, Landroid/content/Intent;
const-string v2, "android.intent.action.VIEW"
invoke-direct {v1, v2}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V
.line 643
const/high16 v2, 0x10000000
invoke-virtual {v1, v2}, Landroid/content/Intent;->addFlags(I)Landroid/content/Intent;
.line 644
以下省略......
... (org/zywx/wbpalmstar/engine/universalex/l.smali)
android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW 、 android.intent.action.VIEW...
... goto :goto_0
.line 274
:sswitch_1
new-instance v1, Landroid/content/Intent;
const-string v2, "android.intent.action.VIEW"
invoke-direct {v1, v2}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V
.line 275
const-string v2, "android.intent.category.DEFAULT"
invoke-virtual {v1, v2}, Landroid/content/Intent;->addCategory(Ljava/lang/String;)Landroid/content/Intent;
.line 276
以下省略......
... (org/zywx/wbpalmstar/platform/myspace/t.smali)
... 此次省略【89】條數據...
- 解決方案
問題同上類似,引擎和公共插件中均做了處理。此中列舉的均為第三方插件或者使用了第三方SDK的插件,這些需要插件開發商提供修正版本。因為這個問題需要有特定的有針對性的惡意程序同時存在于手機上運行,才有可能導致app的故障崩潰等,因此影響并不是很大。
- 檢測項目:調試信息檢測
- 關鍵詞
Logcat,Log.i
- 詳細報告
在開發安卓應用時候,添加調試log信息是一個非常常用的手段,打印log也是一個良好的習慣,有助于程序員快速的定位錯誤位置和錯誤信息。但是如果發布出去的應用未及關閉log信息的輸出,則有可能泄露應用的邏輯處理和一些賬號等信息
檢測出調試信息函數共【234】條 :
Landroid/util/Log;->d 、 Landroid/util/Log;->e (com/iflytek/thirdparty/aM.smali)
Landroid/util/Log;->d (org/zywx/wbpalmstar/plugin/uexcamera/CustomCamera$3.smali)
Landroid/util/Log;->e (org/zywx/wbpalmstar/base/ACEParcelFileDescriptorUtil$TransferThread.smali)
Landroid/util/Log;->i (org/zywx/wbpalmstar/plugin/uexweixin/AnalJson.smali)
Landroid/util/Log;->d 、 Landroid/util/Log;->e 、 Landroid/util/Log;->i 、 Landroid/util/Log;->w (org/zywx/wbpalmstar/engine/EUtil.smali)
Ljava/io/PrintStream;->println(Ljava/lang/String;)V (org/zywx/wbpalmstar/plugin/uexweixin/EuexWeChat$GetAccessTokenTask.smali)
Landroid/util/Log;->e (org/zywx/wbpalmstar/engine/universalex/l.smali)
Landroid/util/Log;->d 、 Landroid/util/Log;->i (org/zywx/wbpalmstar/engine/EBrowserWindow.smali)
Landroid/util/Log;->i (org/zywx/wbpalmstar/plugin/uexweixin/EuexWeChat$NetWorkAsyncTaskToken.smali)
Landroid/util/Log;->i (org/zywx/wbpalmstar/plugin/uexqq/EUExQQ$2.smali)
Landroid/util/Log;->d (org/zywx/wbpalmstar/plugin/uexsina/EUExSina$3.smali)
Landroid/util/Log;->d (com/baidu/location/ag.smali)
Landroid/util/Log;->i (org/zywx/wbpalmstar/plugin/uexcontrol/EUExControl.smali)
Ljava/io/PrintStream;->println(Ljava/lang/String;)V (com/ibm/mqtt/MqttHashTable.smali)
Landroid/util/Log;->d (com/baidu/location/ah.smali)
Landroid/util/Log;->i (org/zywx/wbpalmstar/plugin/ueximage/EUExImage$1.smali)
Landroid/util/Log;->d (com/baidu/lbsapi/auth/a.smali)
Landroid/util/Log;->d 、 Landroid/util/Log;->e (com/iflytek/speech/SpeechModuleAidl$1.smali)
Landroid/util/Log;->d (com/amap/api/mapcore/bh.smali)
Ljava/io/PrintStream;->println(Ljava/lang/String;)V (com/ibm/mqtt/Mqtt.smali)
Landroid/util/Log;->e 、 Landroid/util/Log;->i 、 Landroid/util/Log;->w (com/iflytek/thirdparty/b.smali)
... 此次省略【214】條數據...
- 解決方案
應當避免直接使用Log進行輸出,如果必須使用,則一定防止敏感信息打印在日志中,防止破解方拿到重要信息。
AppCan個別插件可能存在Log,但其中不存在敏感信息,不會泄露。
- 檢測項目:SDCARD數據儲存檢測
- 關鍵詞
SDCARD
- 詳細報告
使用外部存儲實現數據持久化,這里的外部存儲一般就是指的是sdcard。使用sdcard存儲的數據,不限制只有本應用訪問,任何可以有訪問Sdcard權限的應用均可以訪問,容易導致信息泄漏安全風險
總共檢測資源文件中包含敏感數據訪問【4】條 :
const/4 v5, 0x1
:try_start_1 invoke-virtual {p0, v4, v5}, Landroid/content/Context;->openFileOutput(Ljava/lang/String;I)Ljava/io/FileOutputStream;
com/iflytek/thirdparty/b.smali
const/4 v2, 0x1 invoke-virtual {v0, v1, v2}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
org/zywx/wbpalmstar/plugin/uexdevice/EUExDevice.smali
const/4 v0, 0x1
:try_start_0 invoke-virtual {p0, p1, v0}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
com/iflytek/thirdparty/S.smali
const/4 v0, 0x1
:try_start_0 invoke-virtual {p0, p1, v0}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
com/iflytek/thirdparty/S.smali
- 解決方案
高德、騰訊微博、科大訊飛等插件都存在SD卡持久化數據,是否存在敏感信息未知。
- 檢測項目:敏感數據訪問控制檢測
- 關鍵詞
SharePreference
- 詳細報告
為了實現不同軟件之間的數據共享,設置內部文件為全局可讀或全局可寫,導致其他應用可以讀取和修改該文件。如果此類文件包含了關鍵配置信息,賬戶信息數據等敏感信息,可能會被盜取或者惡意篡改,導致如程序無法運行,業務邏輯被修改等問題。
總共檢測資源文件中包含敏感數據訪問【4】條 :
const/4 v5, 0x1
:try_start_1 invoke-virtual {p0, v4, v5}, Landroid/content/Context;->openFileOutput(Ljava/lang/String;I)Ljava/io/FileOutputStream;
com/iflytek/thirdparty/b.smali
const/4 v2, 0x1 invoke-virtual {v0, v1, v2}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
org/zywx/wbpalmstar/plugin/uexdevice/EUExDevice.smali
const/4 v0, 0x1
:try_start_0 invoke-virtual {p0, p1, v0}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
com/iflytek/thirdparty/S.smali
const/4 v0, 0x1
:try_start_0 invoke-virtual {p0, p1, v0}, Landroid/content/Context;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;
com/iflytek/thirdparty/S.smali
- 解決方案
根據需要嚴格控制文件的全局讀寫權限;對于必須使用的全局可讀寫文件,嚴格審核其中是否包含敏感信息。
uexDevice和科大訊飛插件可能存在部分數據為全局可讀寫,不過uexDevice的信息為非敏感信息,無關緊要。
- 檢測項目:敏感數據顯示(輸出)與輸入檢測
- 關鍵詞
安全鍵盤
- 詳細報告
客戶端的敏感界面,如登錄界面、注冊界面、支付界面等,用戶再輸入敏感信息與顯示(輸出)如果未使用安全鍵盤使用第三方未知鍵盤或系統鍵盤的話可能存在被數據攔截與輸入監聽的風險導致敏感數據泄露
- 解決方案
這個就純屬奇葩了,明擺著讓你掏錢買他們的安全鍵盤組件。
如果app內的安全標準沒有那么高的話,就不需要安全鍵盤。如果真的涉及到支付等環節,也可以采用第三方的安全鍵盤服務,AppCan也有對應的安全鍵盤插件可以使用。
- 檢測項目:H5文件明文存儲檢測
- 關鍵詞
html,js,hybrid
- 詳細報告
如果存在明文存儲的H5資源文件,則會泄露頁面基本布局和一些重要的信息
- 解決方案
此問題如果app內業務邏輯不涉及安全級別很高,則無需關心。
如果在意的話,AppCan開發的應用可以通過config.xml文件中配置obfuscation為true,或者打包最后直接選擇代碼加密即可。同時,其中的debug值應調整為false。
- 檢測項目:資源文件_查看分析檢測
- 關鍵詞
res,assets
- 詳細報告
程序在未進行資源隱藏或者加密時會出現直接把APK解壓縮造成APK 的資源被竊取、查看分析的風險。
- 解決方案
此問題如果app內的資源不存在敏感資源,只是一些普通的布局的話,其實并沒有什么問題。
如果在意的話,只能通過第三方加密加固方式進行加固。
- 檢測項目:WebView遠程代碼執行漏洞
- 關鍵詞
addJavascriptInterface
- 詳細報告
Android API level 16以及之前的版本存在遠程代碼執行安全漏洞,該漏洞源于程序沒有正確限制使用WebView.addJavascriptInterface方法,遠程攻擊者 可通過使用Java Reflection API利用該漏洞執行任意Java對象的方法,簡單的說就是通過addJavascriptInterface給WebView加入一個 JavaScript橋接接口,JavaScript通過調用這個接口可以直接操作本地的JAVA接口
總共檢測資源文件中包含webView【9】條
檢測代碼中包含webView路徑:
檢測到包含webview路徑
[/smali/com/tencent/open/PKDialog.smali]
檢測到包含webview路徑
[/smali/com/tencent/open/yyb/AppbarActivity.smali]
檢測到包含webview路徑
[/smali/com/iflytek/sunflower/CollectorJs.smali]
檢測到包含webview路徑
[/smali/com/tencent/connect/auth/AuthDialog.smali]
檢測到包含webview路徑
[/smali/com/umeng/analytics/MobclickAgentJSInterface.smali]
...
此處省略【4】條數據
...
- 解決方案
AppCan引擎在3.2版本之后已經修改了webview中JS與原生交互的方式,而不依賴webview自帶的addJavascriptInterface接口了,故不存在這個漏洞。
上述列舉的問題,集中在uexUmeng,uexTent,以及科大訊飛插件中,屬于第三方SDK的問題,需要第三方開發商配合解決。
但如果這些代碼涉及到的業務不會存在讀取遠程頁面的邏輯,則這個問題根本就不會出現。這里只是說有這個隱患的可能而已。
