OWASP 类别: MASVS-PLATFORM:平台互动
概览
Android 权限是在应用的清单中声明的字符串标识符,用于请求访问受限数据或操作,由 Android 框架在运行时强制执行。
Android 权限级别表示与权限相关的潜在风险:
- 普通:风险较低的权限,在安装时自动授予
- 危险:高风险权限,可能会允许访问敏感用户数据,需要在运行时获得用户明确批准
- 签名:仅授予使用与声明权限的应用相同的证书签名的应用,通常用于系统应用或同一开发者的应用之间的互动
与基于权限的访问控制相关的漏洞是指应用组件(例如 activity、接收器、内容提供程序或 service)满足以下所有条件时出现的漏洞:
- 相应组件未与
Manifest中的任何android:permission相关联; - 组件执行敏感任务,用户已批准该任务的权限;
- 组件已导出;
- 该组件不执行任何手动(清单或代码级)权限检查;
发生这种情况时,恶意应用可以滥用存在漏洞的组件的权限,将存在漏洞的应用的权限代理给恶意应用,从而执行敏感操作。
影响
导出易受攻击的组件可用于获取对敏感资源的访问权限或执行敏感操作。这种不当行为的影响取决于存在漏洞的组件的上下文及其权限。
缓解措施
需要权限才能执行敏感任务
导出具有敏感权限的组件时,要求任何传入请求都具有相同的权限。Android Studio IDE 针对接收器和服务进行了 Lint 检查,以发现此漏洞并建议要求使用适当的权限。
开发者可以通过在 Manifest 文件中声明权限或在实现服务时在代码级声明权限来要求传入请求具有相应权限,如以下示例所示。
Xml
<manifest ...>
<uses-permission android:name="android.permission.READ_CONTACTS" />
<application ...>
<service android:name=".MyExportService"
android:exported="true"
android:permission="android.permission.READ_CONTACTS" />
</application>
</manifest>
Kotlin
class MyExportService : Service() {
private val binder = MyExportBinder()
override fun onBind(intent: Intent): IBinder? {
// Enforce calling app has the required permission
enforceCallingPermission(Manifest.permission.READ_CONTACTS, "Calling app doesn't have READ_CONTACTS permission.")
// Permission is enforced, proceed with export logic
return binder
}
// Inner class for your Binder implementation
private inner class MyExportBinder : Binder() {
// Permission is enforced, proceed with export logic
}
}
Java
public class MyExportService extends Service {
@Override
public IBinder onBind(Intent intent) {
// Enforce calling app has the required permission
enforceCallingPermission(Manifest.permission.READ_CONTACTS, "Calling app doesn't have READ_CONTACTS permission.");
return binder;
}
// Inner class for your Binder implementation
private class MyExportBinder extends Binder {
// Permission is enforced, proceed with export logic
}
}
不导出组件
除非绝对必要,否则避免导出可访问敏感资源的组件。为此,您可以在 Manifest 文件中将组件的 android:exported 设置为 false。从 API 级别 31 开始,此属性默认设置为 false。
Xml
<activity
android:name=".MyActivity"
android:exported="false"/>
采用基于签名的权限
当您在受您控制或由您拥有的两个应用之间共享数据时,请使用基于签名的权限。这些权限不需要用户确认,而是会检查访问数据的应用是否使用相同的签名密钥进行了签名。这种设置可提供更加顺畅、安全的用户体验。如果您声明自定义权限,请考虑相应的安全准则。
Xml
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.example.myapp">
<permission android:name="my_custom_permission_name"
android:protectionLevel="signature" />
单任务端点
遵循关注点分离设计原则来实现应用。每个端点应仅执行一组具有特定权限的特定任务。这种良好的设计实践还允许开发者为每个端点应用精细的权限。例如,避免创建同时提供日历和通讯录服务的单个端点。
资源
- Android Access to app protected components from the Oversecured blog
- 内容提供程序最佳实践
- 运行时(危险)权限
- “分离关注点”设计原则
- Android 权限文档
- Android 广播接收器安全提示
- Android 服务安全提示
- Android 12 (API 31) 将导出的默认值设置为“false”
- Lint 检查:导出的 PreferenceActivity 不应导出
- Lint 检查:导出的接收器不需要权限
- Lint 检查:导出的服务不需要权限