避免踩坑：易盾安全老司机起底Android九大漏洞，附解决建议

Android应用会遇到各种各样的漏洞，如何从细节上了解各种安全隐患，积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识，网易云易盾资深安全工程师徐从祥为大家详细解读常见九大的Android漏洞，供各位学习参考。（如果下面干货内容没有让各位尽兴，欢迎来官网申请相关产品试用，面对面交流，保证解决你的安全难题。

​

第一大类：AndroidManifest配置相关的风险或漏洞

程序可被任意调试

风险详情：安卓应用apk配置文件Android Manifest.xml中android:debuggable=true，调试开关被打开。

危害情况：app可以被调试。

修复建议：把AndroidManifest.xml配置文件中调试开关属性关掉，即设置android:Debugable="false"。

程序数据任意备份

风险详情：安卓应用apk配置文件AndroidManifest.xml中android:allowBackup=true，数据备份开关被打开。

危害情况：app应用数据可被备份导出。

修复建议：把AndroidManifest.xml配置文件备份开关关掉，即设置android:allowBackup="false"。

组件暴露：建议使用android:protectionLevel="signature"验证调用来源。

Activity组件暴露

​

风险详情：Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时，activity被认为是导出的，可通过设置相应的Intent唤起activity。

危害情况：***可能构造恶意数据针对导出activity组件实施越权***。

修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互，请对组件进行权限控制和参数校验。

Service组件暴露

风险详情：Service组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时，Service被认为是导出的，可通过设置相应的Intent唤起Service。

危害情况：***可能构造恶意数据针对导出Service组件实施越权***。

修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互，请对组件进行权限控制和参数校验。

ContentProvider组件暴露

​

风险详情：ContentProvider组件的属性exported被设置为true或是Android API<=16时，Content Provider被认为是导出的。

危害情况：***可能访问到应用本身不想共享的数据或文件。

修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互，请对组件进行权限控制和参数校验。

BroadcastReceiver组件暴露

风险详情：BroadcastReceiver组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时，BroadcastReceiver被认为是导出的。

危害情况：导出的广播可以导致数据泄漏或者是越权。

修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互，请对组件进行权限控制和参数校验。

​

Intent SchemeURLs***

风险详情：在AndroidManifast.xml设置Scheme协议之后，可以通过浏览器打开对应的Activity。

危害情况：***者通过访问浏览器构造Intent语法唤起app相应组件，轻则引起拒绝服务，重则可能演变对app进行越权调用甚至升级为提权漏洞。

修复建议：app对外部调用过程和传输数据进行安全检查或检验，配置category filter, 添加android.intent.category.BROWSABLE方式规避风险

第二大类：WebView组件及与服务器通信相关的风险或漏洞

Webview存在本地Java接口

风险详情：android的webView组件有一个非常特殊的接口函数addJavascriptInterface，能实现本地java与js之间交互。

危害情况：在targetSdkVersion小于17时，***者利用 addJavascriptInterface这个接口添加的函数，可以远程执行任意代码。

修复建议：建议开发者不要使用addJavascriptInterface，使用注入javascript和第三方协议的替代方案。

Webview组件远程代码执行（调用getClassLoader）

风险详情：使用低于17的targetSDKVersion，并且在Context子类中使用addJavascriptInterface绑定this对象。

危害情况：通过调用getClassLoader可以绕过google底层对getClass方法的限制。

修复建议：targetSDKVersion使用大于17的版本。

​

WebView忽略SSL证书错误

风险详情：WebView调用onReceivedSslError方法时，直接执行handler.proceed()来忽略该证书错误。

危害情况：忽略SSL证书错误可能引起中间人***。

修复建议：不要重写onReceivedSslError方法，或者对于SSL证书错误问题按照业务场景判断，避免造成数据明文传输情况。

webview启用访问文件数据

风险详情：Webview中使用setAllowFileAccess(true)，App可通过webview访问私有目录下的文件数据。

危害情况：在Android中，mWebView.setAllowFileAccess(true)为默认设置。当setAllowFileAccess(true)时，在File域下，可执行任意的JavaScript代码，如果绕过同源策略能够对私有目录文件进行访问，导致用户隐私泄漏。

修复建议：使用WebView.getSettings().setAllowFileAccess(false)来禁止访问私有文件数据。

​

SSL通信服务端检测信任任意证书

风险详情：自定义SSLx509 TrustManager，重写checkServerTrusted方法，方法内不做任何服务端的证书校验。

危害情况：***可以使用中间人***获取加密内容。

修复建议：严格判断服务端和客户端证书校验，对于异常事件禁止return 空或者null。

HTTPS关闭主机名验证

风险详情：构造HttpClient时，设置HostnameVerifier时参数使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier。

危害情况：关闭主机名校验可以导致***使用中间人***获取加密内容。

修复建议：APP在使用SSL时没有对证书的主机名进行校验，信任任意主机名下的合法的证书，导致加密通信可被还原成明文通信，加密传输遭到破坏。