Android漏洞扫描工具Code Arbiter

最新推荐文章于 2025-10-25 10:13:54 发布

原创

最新推荐文章于 2025-10-25 10:13:54 发布 · 2.1k 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#美团技术

本文介绍CodeArbiter，一款专为Android Studio设计的实时代码安全扫描工具，可在编码阶段即时反馈安全问题，提升开发效率。通过扩展FindBugs插件，优化检测规则，减少误报，实现精准定位问题代码。

目前Android应用代码漏洞扫描工具种类繁多，效果良莠不齐，这些工具有一个共同的特点，都是在应用打包完成后对应用进行解包扫描。这种扫描有非常明显的缺点，扫描周期较长，不能向开发者实时反馈代码中存在的安全问题，并且对于问题代码的定位需要手动搜索匹配源码，这样就更不利于开发者对问题代码进行及时的修改。Code Arbiter正是为解决上述两个问题而开发的，专门对Android Studio中的源码进行安全扫描。

为实现对Android Studio中的源码进行扫描，最方便的方式便是将扫描工具以IDE插件的形式进行工作。此时一个很自然的想法便是从头构建一个Android Studio插件，但是进行仔细的评估后会发现，这样做难度并不小： 1. 工作量大，许多知识需要学习，如IDE开放API接口、插件UI构建等，同时许多底层模块需要从头构建； 2. 插件的稳定性、检测问题的准确性上都不一定能够达到已有开源工具的效果。

因此我们转而考虑在已有漏洞检测插件的基础上进行扩展，以满足需求。经过调研，最终入围的两款检测插件是PMD和FindBugs，其中PMD是对Java源码进行扫描，而FindBugs则是对Java源码编译后的class文件进行扫描。考虑到可扩展性及检测的准确性，最终选定了FindBugs。FindBugs是一个静态分析工具，它检查类或者JAR文件，将字节码与一组缺陷模式进行对比来发现可能的问题，可以以独立的JAR包形式运行，也可以作为集成开发工具的插件形式存在。

扩展优化

那么，怎么扩展FindBugs呢？调研发现FindBugs插件具有着极强的可扩展性，只需要将扩展的JAR包导入FindBugs插件，重启，即可完成相关功能的扩展。安装JAR包示意图如下所示。

安装jar包

下面的问题是如何构建可安装的JAR包。继续调研，发现FindBugs有一款专门对安全问题进行检测的扩展插件Find Security Bugs，该插件主要用于对Web安全问题进行检测，也有极少对Android相关安全问题的检测规则。考虑以下几个原因，需要对该插件的源码进行重构。 1. 对Android安全问题的检测太少，只包含外部文件使用、Webview、Broadcast使用等寥寥几项； 2. 检测的细粒度上考虑不够完全，会造成大量的误报，无法满足检测精度的要求； 3. 检测问题的上报只支持英文模式，且问题展示的逻辑性不够严谨，不便于开发者进行问题排查。

基于以上三个原因，我们需要对Find Security Bugs的源码进行重写、优化，通过增加检测项来检测尽可能多的安全问题，通过优化检测规则来减少检测的误报，问题展示使用中文进行描述，同时优化问题描述的逻辑性，使得开发者能够更易理解并修改相关问题，至此插件实现及优化的方案确定。

FindBugs检测的是class文件，因此当待检测的源码未生成编译文件时，FindBugs会先将源码编译生成.class文件，然后对这个class文件进行分析。FindBugs会完成对class文件的自动建模，在此模型的基础上对代码进行分析。按照在实际编写检测代码过程中的总结，把检测的实现方式分成四种方式，下面分别进行介绍。

2.1 逐行检查

逐行检查主要是针对代码中使用的一些不安全方法或参数进行检测，其实现方式是重写sawOpcode()方法，下面以Android中使用外部存储问题作为示例进行讲解。

Android中获取外部存储文件夹地址的方法主要包括下面这些方法：

getExternalCacheDir()
getExternalCacheDirs()
getExternalFilesDir()
getExternalFilesDirs()
getExternalMediaDirs()
Environment.getExternalStorageDirectory()
Environment.getExternalStoragePublicDirectory()

检测的方式便是，如果发现存在该方法的调用，则作为一个问题进行上报，实现完整代码如下所示：

public class ExternalFileAccessDetector extends OpcodeStackDetector {

    private static final String ANDROID_EXTERNAL_FILE_ACCESS_TYPE = "ANDROID_EXTERNAL_FILE_ACCESS";
    private BugReporter bugReporter;
    public ExternalFileAccessDetector(BugReporter bugReporter) {
        this.bugReporter = bugReporter;
    }

    @Override
 public void sawOpcode(int seen) {
        //printOpCode(seen);
 if (seen == Constants.INVOKEVIRTUAL && (
        getNameConstantOperand().equals("getExternalCacheDir") ||
        getNameConstantOperand().equals("getExternalCacheDirs") ||
        getNameConstantOperand().equals("getExternalFilesDir") ||
        getNameConstantOperand().equals("getExternalFilesDirs") ||
        getNameConstantOperand().equals("getExternalMediaDirs")
            )) {
// System.out.println(getSigConstantOperand());
 bugReporter.reportBug(new BugInstance(this, ANDROID_EXTERNAL_FILE_ACCESS_TYPE, Priorities.NORMAL_PRIORITY).addClass(this).addMethod(this).addSourceLine(this));
        }
        else if(seen == Constants.INVOKESTATIC && getClassConstantOperand().equals("android/os/Environment") && (getNameConstantOperand().equals("getExternalStorageDirectory") || getNameConstantOperand().equals("getExternalStoragePublicDirectory"))) {
            bugReporter.reportBug(new BugInstance(this, ANDROID_EXTERNAL_FILE_ACCESS_TYPE, Priorities.NORMAL_PRIORITY).addClass(this).addMethod(this).addSourceLine(this));
        }
    }
}

该类的实现是继承OpcodeStackDetector类，是FindBugs中的一个抽象类，封装了对于获取代码特定参数的方法调用。sawOpcode方法参数可以理解为待检测代码行的行号，通过printOpCode(seen)可以打印该代码行的具体内容。Constants.INVOKEVIRTUAL表示该行调用类的实例方法，Constants.INVOKESTATIC表示调用类的静态方法。getNameConstantOperand方法表示获取被调用方法的名称，getClassConstantOperand方法表示获取调用类的名称，getSigConstantOperand方法表示获取方法的所有参数。bugReporter.reportBug用于上报检测到的漏洞信息，其中BugInstance的三个参数分别表示：检测器、漏洞类型、漏洞等级，其中漏洞等级分为五个级别，如下表所示：