OWASP 类别: MASVS-NETWORK:网络通信
概述
DownloadManager 是在 API 级别 9 中引入的一种系统服务。它处理长时间运行的 HTTP 下载,并允许应用将文件作为后台任务下载。其 API 处理 HTTP 交互并在出现故障或跨连接更改和系统重启后重试下载。
DownloadManager 存在一些与安全相关的弱点,这使得它成为在 Android 应用中管理下载的不安全选择。
(1) 下载提供程序中的 CVE
2018 年,在下载提供程序中发现了三个 CVE 并进行了修复。以下是每个 CVE 的摘要(请参阅 技术细节)。
- 下载提供程序权限绕过 – 即使没有授予任何权限,恶意应用也可以检索下载提供程序中的所有条目,其中可能包含潜在的敏感信息,例如文件名、描述、标题、路径、网址,以及所有已下载文件的完整读/写权限。恶意应用可以在后台运行,监控所有下载并远程泄露其内容,或在合法请求者访问文件之前对其进行修改。这可能会导致用户核心应用出现拒绝服务,包括无法下载更新。
- 下载提供程序 SQL 注入 – 通过 SQL 注入漏洞,即使没有权限的恶意应用也可以检索下载提供程序中的所有条目。此外,具有有限权限的应用(例如
android.permission.INTERNET)也可以从不同的 URI 访问所有数据库内容。可以检索潜在的敏感信息,例如文件名、描述、标题、路径、网址,并且根据权限,还可以访问下载的内容。 - 下载提供程序请求标头信息泄露 – 恶意应用如果已授予
android.permission.INTERNET权限,则可以检索下载提供程序请求标头表中的所有条目。这些标头可能包含敏感信息,例如会话 Cookie 或身份验证标头,这些信息来自 Android 浏览器或 Google Chrome 等应用启动的任何下载。这可能允许攻击者冒充用户在获取敏感用户数据的任何平台上。
(2) 危险权限
API 级别低于 29 的 DownloadManager 需要危险权限 – android.permission.WRITE_EXTERNAL_STORAGE。对于 API 级别 29 及更高版本,android.permission.WRITE_EXTERNAL_STORAGE 权限不是必需的,但 URI 必须引用应用拥有的目录或顶级“下载”目录内的路径。
(3) 对 Uri.parse() 的依赖
DownloadManager 依赖于 Uri.parse() 方法来解析请求下载的位置。出于性能考虑,Uri 类对不受信任的输入几乎没有进行任何验证。
影响
使用 DownloadManager 可能导致通过利用对外部存储的写入权限而产生的漏洞。由于 android.permission.WRITE_EXTERNAL_STORAGE 权限允许广泛访问外部存储,因此攻击者有可能静默地修改文件和下载内容、安装潜在的恶意应用、拒绝核心应用的服务或导致应用崩溃。恶意行为者还可以操纵发送到 Uri.parse() 的内容,导致用户下载有害文件。
缓解措施
不要使用 DownloadManager,而是在您的应用中使用 HTTP 客户端(例如 Cronet)、进程调度程序/管理器以及在网络丢失时确保重试的方法来直接设置下载。该 库的文档 包含指向 示例 应用的链接以及有关如何实现它的 说明。
如果您的应用需要能够管理进程调度、在后台运行下载或在网络丢失后重试建立下载,那么请考虑包含 WorkManager 和 ForegroundServices。
以下是使用 Cronet 设置下载的示例代码,摘自 Cronet 代码实验室。
Kotlin
override suspend fun downloadImage(url: String): ImageDownloaderResult {
val startNanoTime = System.nanoTime()
return suspendCoroutine {
cont ->
val request = engine.newUrlRequestBuilder(url, object: ReadToMemoryCronetCallback() {
override fun onSucceeded(
request: UrlRequest,
info: UrlResponseInfo,
bodyBytes: ByteArray) {
cont.resume(ImageDownloaderResult(
successful = true,
blob = bodyBytes,
latency = Duration.ofNanos(System.nanoTime() - startNanoTime),
wasCached = info.wasCached(),
downloaderRef = this@CronetImageDownloader))
}
override fun onFailed(
request: UrlRequest,
info: UrlResponseInfo,
error: CronetException
) {
Log.w(LOGGER_TAG, "Cronet download failed!", error)
cont.resume(ImageDownloaderResult(
successful = false,
blob = ByteArray(0),
latency = Duration.ZERO,
wasCached = info.wasCached(),
downloaderRef = this@CronetImageDownloader))
}
}, executor)
request.build().start()
}
}
Java
@Override
public CompletableFuture<ImageDownloaderResult> downloadImage(String url) {
long startNanoTime = System.nanoTime();
return CompletableFuture.supplyAsync(() -> {
UrlRequest.Builder requestBuilder = engine.newUrlRequestBuilder(url, new ReadToMemoryCronetCallback() {
@Override
public void onSucceeded(UrlRequest request, UrlResponseInfo info, byte[] bodyBytes) {
return ImageDownloaderResult.builder()
.successful(true)
.blob(bodyBytes)
.latency(Duration.ofNanos(System.nanoTime() - startNanoTime))
.wasCached(info.wasCached())
.downloaderRef(CronetImageDownloader.this)
.build();
}
@Override
public void onFailed(UrlRequest request, UrlResponseInfo info, CronetException error) {
Log.w(LOGGER_TAG, "Cronet download failed!", error);
return ImageDownloaderResult.builder()
.successful(false)
.blob(new byte[0])
.latency(Duration.ZERO)
.wasCached(info.wasCached())
.downloaderRef(CronetImageDownloader.this)
.build();
}
}, executor);
UrlRequest urlRequest = requestBuilder.build();
urlRequest.start();
return urlRequest.getResult();
});
}
资源
- DownloadManager 的主要文档页面
- DownloadManager CVE 报告
- Android 权限绕过 CVE 2018-9468
- Android 下载提供程序 SQL 注入 CVE-2018- 9493
- Android 下载提供程序权限绕过 CVE2018-9468
- Cronet 的主要文档页面
- 在应用中使用 Cronet 的说明
- Cronet 示例实现
- Uri 的文档
- ForegroundService 的文档
- WorkManager 的文档