OWASP 类别: MASVS-PLATFORM:平台交互
概览
Android 权限是在应用的清单中声明的字符串标识符,用于请求访问受限数据或操作,并在运行时由 Android 框架强制执行。
Android 权限级别指示与权限相关的潜在风险
- 正常:低风险权限,在安装时自动授予
- 危险:高风险权限,可能允许访问敏感用户数据,需要在运行时由用户明确批准
- 签名:仅授予与声明该权限的应用使用相同证书签名的应用,通常用于系统应用或同一开发者应用之间的交互
与基于权限的访问控制相关的漏洞发生在应用的组件(例如 activity、receiver、content provider 或 service)满足以下所有条件时
- 组件未在
Manifest
中关联任何android:permission
; - 该组件执行一项敏感任务,而执行该任务所需的权限用户已经批准;
- 该组件已导出;
- 该组件未执行任何手动(清单或代码级别)权限检查;
发生这种情况时,恶意应用可以通过滥用易受攻击组件的权限来执行敏感操作,将易受攻击应用的权限代理给恶意应用。
影响
导出易受攻击的组件可用于获取对敏感资源的访问权限或执行敏感操作。这种不良行为的影响取决于易受攻击组件的上下文及其权限。
缓解措施
对敏感任务要求权限
导出具有敏感权限的组件时,对任何传入请求要求相同的权限。Android Studio IDE 对 receiver 和 service 具有 lint 检查,可以发现此漏洞并建议要求相应的权限。
开发者可以在 Manifest
文件中声明权限,或在实现服务时在代码级别要求权限,如下例所示。
Xml
<manifest ...>
<uses-permission android:name="android.permission.READ_CONTACTS" />
<application ...>
<service android:name=".MyExportService"
android:exported="true"
android:permission="android.permission.READ_CONTACTS" />
</application>
</manifest>
Kotlin
class MyExportService : Service() {
private val binder = MyExportBinder()
override fun onBind(intent: Intent): IBinder? {
// Enforce calling app has the required permission
enforceCallingPermission(Manifest.permission.READ_CONTACTS, "Calling app doesn't have READ_CONTACTS permission.")
// Permission is enforced, proceed with export logic
return binder
}
// Inner class for your Binder implementation
private inner class MyExportBinder : Binder() {
// Permission is enforced, proceed with export logic
}
}
Java
public class MyExportService extends Service {
@Override
public IBinder onBind(Intent intent) {
// Enforce calling app has the required permission
enforceCallingPermission(Manifest.permission.READ_CONTACTS, "Calling app doesn't have READ_CONTACTS permission.");
return binder;
}
// Inner class for your Binder implementation
private class MyExportBinder extends Binder {
// Permission is enforced, proceed with export logic
}
}
不要导出组件
除非绝对必要,否则请避免导出可访问敏感资源的组件。您可以通过将组件的 Manifest
文件中的 android:exported
设置为 false
来实现这一点。从 API 级别 31 及更高版本开始,此属性默认为 false
。
Xml
<activity
android:name=".MyActivity"
android:exported="false"/>
应用基于签名的权限
在您控制或拥有的两个应用之间共享数据时,请使用基于签名的权限。这些权限不需要用户确认,而是检查访问数据的应用是否使用相同的签名密钥进行签名。此设置可提供更流畅、更安全的用户体验。如果您声明自定义权限,请务必考虑相应的安全准则。
Xml
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.example.myapp">
<permission android:name="my_custom_permission_name"
android:protectionLevel="signature" />
单任务端点
遵循关注点分离设计原则来实施您的应用。每个端点应只执行一小组具有特定权限的特定任务。这种良好的设计实践还允许开发者为每个端点应用精细的权限。例如,避免创建同时服务于日历和联系人的单个端点。
资源
- Android 从 Oversecured 博客访问应用受保护的组件
- 内容提供程序最佳实践
- 运行时(危险)权限
- 关注点分离设计原则
- Android 权限文档
- Android 广播接收器安全提示
- Android 服务安全提示
- Android 12 (API 31) exported 默认设置为 "false"
- Lint 检查:导出的 PreferenceActivity 不应导出
- Lint 检查:导出的 Receiver 不需要权限
- Lint 检查:导出的 Service 不需要权限