Android 安全检测漏洞及修复

原创 已于 2022-06-16 16:35:55 修改 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #安全 #android studio

于 2021-05-18 18:09:06 首次发布
本文介绍了在Android App上线前的安全检测漏洞及其修复方法,包括BroadcastReceiver组件的权限控制,避免android:debuggable和android:allowBackup带来的风险,修复WebView的相关漏洞,以及正确处理SSL证书校验。确保混合型App如Ionic/Cordova的安全性。

将Android App上线前送检,安全检测漏洞修复(目录仅对ionic/cordova类混合APP有效)

低风险


1. BroadcastReceiver组件暴露 导出的广播可以导致数据泄漏或者是越权。
如果组件不需要与其他app共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互, 请对组件进行权限控制和参数校验。

中风险 


     1.android:debuggable 属性的设置可能会引起 被动态调试的风险。     
      在AndroidMainifest.xml中最好不设置android:debuggable属性置,而是由打包方式来决定其值。
如果设置了 android:debuggable=”true” 那么在正式打包时 把它设置成false;但是Android Studio提示需要设置上 tools:ignore="HardcodedDebugMode"
    2.android:allowBackup 属性的设置可能会引起用数据被任意备份的风险    
    开发者务必将 allowBackup 标志值设置为 false 来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。
<application
            android:allowBackup="false"
            android:debuggable="false">
        ......
 </application>


高风险


1.WebView组件系统隐藏接口未移除漏洞  
platforms/android/app/src/main/java/org/apache/cordova/inappbrowser/InAppBrowser.java文件 inAppWebView = new WebView(cordova.getActivity());下添加

      inAppWebView.removeJavascriptInterface("searchBoxJavaBridge_");
                 inAppWebView.removeJavascriptInterface("accessibility");
                 inAppWebView.removeJavascriptInterface("accessibilityTraversal");
               
2.android主机名/证书 弱校验风险
 platforms/android/app/src/main/java/com/skspruce/ism/mobile/cordova/CordovaPluginWifi.java 文件  public void getWebVersion(){ }内注释try里面的X509TrustManager函数,并设置 OkHttpClient client = new OkHttpClient.Builder()
            // .hostnameVerifier(DO_NOT_VERIFY).sslSocketFactory(sslContext.getSocketFactory(), trustManager)
            .build();
3.Android平台WebView控件跨域访问高危漏洞,同1:platforms/android/app/src/main/java/org/apache/cordova/inappbrowser/InAppBrowser.java文件 inAppWebView = new WebView(cordova.getActivity());下添加
      inAppWebView.getSettings().setAllowFileAccessFromFileURLs(false);
                 inAppWebView.getSettings().setAllowUniversalAccessFromFileURLs(false);
4.Webview绕过证书校验漏洞
platforms/android/CordovaLib/src/org/apache/cordova/engine/SystemWebViewClient.java文件下 

if ((appInfo.flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0) {
                 // debug = true
                 handler.proceed();
               // Webview绕过证书校验漏洞,生产环境用handle.cancel();
              // handle.cancel();
    return;
}else{
    // debug = false
                handler.cancel();
                super.onReceivedSslError(view, handler, error);
}

CordovaPluginWifi.java 文件下

 import android.content.pm.ApplicationInfo;
将OkHttpClient client = new OkHttpClient.Builder().hostnameVerifier(DO_NOT_VERIFY).sslSocketFactory(sslContext.getSocketFactory(), trustManager).build();替换成:

 OkHttpClient.Builder clientBuilder = new OkHttpClient.Builder();

            // Debug忽略HTTPS校验
            final String packageName = cordova.getActivity().getPackageName();
            final PackageManager pm = cordova.getActivity().getPackageManager();
            ApplicationInfo appInfo = pm.getApplicationInfo(packageName, PackageManager.GET_META_DATA);
            if ((appInfo.flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0) {
                clientBuilder = clientBuilder.hostnameVerifier(DO_NOT_VERIFY).sslSocketFactory(sslContext.getSocketFactory(), trustManager);
            }

            OkHttpClient client = clientBuilder.build();
 

dengjiecsdn
关注
android漏洞检测工具,Android漏洞检测——模糊测试
weixin_31119221的博客
05-25 1296
前言Android在目前的市场上占有率很高,用户数量庞大,而在该平台下的应用程序开发成本低,开发难度低,发布容易,缺少监管和审查,导致大量低质量App流入市场,这些App由于开发者缺乏安全编程技能或缺乏测试和审查,可能存在着一些严重的漏洞,对用户的隐私以及财产安全造成巨大风险。因此,移动应用尤其是Android平台下的应用的开发应该对此引起高度重视。Android常见漏洞越权绕过:没有对调用act...
Android漏洞检测与分析初探
zheshanye的博客
08-25 2853
近两天对Android漏洞检测的基础知识进行了初步了解,现总结如下: 程序正确性证明 对于程序的正确性证明,有公理证明、静态分析、动态分析、符号执行等方法。从公理角度证明程序的正确性就是想通过某种公理系统对程序进行描述,判断程序能否转移到正确状态或满足某种安全性质。而对于静态分析或动态分析方法则是从检测程序的执行路径角度对程序的正确性进行检验。静态分析方法由于执行方便,覆盖面广,可以广泛地检验...
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
Android安全测试
Scorpio_m7
05-17 1154
基础介绍 Android 平台、组件等基础知识介绍 Android平台架构 Android系统 架构采用分层式设计。 如果把Android 系统看做一层一层的,那么基本可以理解成以下结构(这是其中一种简单的分层方式): 最上层是应用层( Application 层),包含所有应用 ,比如桌面 (桌面 也是应用)、电话、 设置等,以及我们常用的微信、优酷等应用属于这一层 第二层是应用框架层Framework 层),包含了对上层应用的管理和提供开发者所需的应用程序编程接口( API )。 第三层是系统运行库层
Android软件安全审计及漏洞修复经验谈
09-26
### Android软件安全审计及漏洞修复经验谈 #### 一、背景与安全机制 在深入了解Android软件的安全审计之前,我们先来了解一下Android操作系统的基本安全机制。Android作为一种基于Linux内核的操作系统,继承了很多...
android6.0漏洞修补,关于Android漏洞风险说明及修复方案
weixin_27890975的博客
05-31 721
陆续收到开发者同学反馈在腾讯云、百度云、爱加密等平台检测到 uni-app 或 5+ App 的漏洞风险问题。我们也在不断跟进和修复。目前收集到的相关漏铜风险分为高风险、中风险和低风险三种危险程度。高风险:可被恶意程序利用 且几乎不需要认证中风险:可能被中级入侵经验者利用、且不一定需要认证低风险:仅可能被本地利用且需要认证风险问题多数为低风险。理论上这些低风险也不会影响应用安全质量。对于高中漏洞...
Android WebView安全漏洞修复与JS注入防范
本篇文章将深入探讨在Android 4.2以下版本中,WebView组件存在的安全隐患及解决方案,并详细介绍如何防范特定的JavaScript注入漏洞。 ### WebView中的JavaScript注入漏洞 #### 漏洞背景 在Android的早期版本中,...
Android Janus漏洞修复
helin_wang的博客
11-03 1059
Android Janus漏洞修复## 标题 什么是Janus漏洞 自诞生以来,Android就要求开发者对应用进行签名。在应用进行更新时,只有更新包的签名与现有的app的签名一致的情况下,Android运行时才允许更新包安装到系统。若app被恶意的攻击者修改,重新打包签名,由于攻击者无法获得原始开发者的私钥,其重打包的签名与原始签名不一致,系统会拒绝安装此更新。这样可以保证每次的更新一定来...
信息安全_android漏洞检测动态分析.pptx
08-14
Android 漏洞检测与动态分析】 在移动安全领域,Android 应用程序的安全性至关重要。随着移动互联网的快速发展,各类应用程序如...通过结合多种工具和技术,可以更有效地发现和修复Android应用中的安全漏洞
安卓开发的漏洞案例与修复建议
12-27
安卓开发的漏洞案例与修复建议
android 漏洞测试,android 代码检测发现的漏洞
weixin_39887221的博客
05-26 232
访问控制:Android Provider每个访问数据库的查询都必须遵守策略(不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录),这可以通过把当前获得授权的用户名包括在查询语句内来实现getContentResolver().insert(Uri.parse("content://sms"),values);上面代码时将发送的短信插入数据库,Android5.0已经不允许进行该操作(还...
Android APP安全测试
逆风飞扬
02-13 894
Android APP安全测试
Android安全知识库
欢迎关注微信公众号:DroidMind
09-16 1682
1&gt; 程序可被任意调试 风险描述 安卓AndroidManifest.xml文件中android:debuggable为true。 危害描述 app可以被任意调试。 修复建议 AndroidManifest.xml 配置文件中中设置为android:Debugable=false。 参考链接 https://developer.android.com/guide/t...
Android安全漏洞检测工具drozer的安装
qq_31540195的博客
07-30 676
app被绿盟检测出有组件暴露风险。解决办法是对不需要暴露的组件在AndroidManifst.xml中增加属性 android:exported="false"。对于需要暴露的组件则添加权限。 这里说说如何使用drozer检测安全漏洞。 在drozer官网和下载工具总是下载不下来。然后就找了一个网盘下载的。作者也写了如何安装工具,我也是照着文中步骤安装的。 连接:https://...
Android安全问题--漏洞及解决方案
我的专栏
12-02 3070
1. 程序可被任意调试 风险描述 安卓AndroidManifest.xml文件中android:debuggable为true。 危害描述 app可以被任意调试。 修复建议 AndroidManifest.xml 配置文件中中设置为android:Debugable=”false”。 参考链接 https://developer.android.com/guide/topics/m...
如何检测Android设备的安全状态:开发者模式、ADB调试和Root检测
weixin_37600397的博客
07-15 6221
Android设备提供了多个开发工具和功能,比如开发者模式和ADB调试。这些功能虽然对开发者非常有用,但如果开启了这些功能,会导致设备的安全性降低。特别是当设备已Root时,攻击者可以获得更高的权限,从而更容易破坏应用安全性。因此,检测设备的这些状态并做出相应的反应是确保应用安全性的关键。
安卓的漏洞类型和扫描工具
最新发布
xxdw1992的博客
10-09 1933
Android应用由多个组件组成,这些组件中的漏洞可能导致严重的安全问题。常见的组件漏洞包括:Activity组件漏洞:Activity是Android应用中的一个核心组件,用于显示用户界面。如果Activity组件存在漏洞,如崩溃或异常,那么其他应用可能会利用这些漏洞导致应用崩溃或进行功能调用。此外,Activity接口如果被其他应用调用,还可能用于执行特定的敏感操作或进行钓鱼欺骗。Service组件漏洞:Service是Android应用中的另一个重要组件,用于在后台执行长时间运行的操作。
漏洞POC是什么/一种基于漏洞poc实现安卓系统漏洞检测的方法与流程_小白信息安全自学
程序员三九的博客
07-22 1171
本发明属于安卓系统安全防护技术领域,尤其涉及一种安卓系统漏洞检测方法。背景技术:随着互联网和智能移动终端在人们生活中的日益普及,移动安全问题和安全隐患也随之愈来愈严重。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值