安卓应用安全指南 4.1.2 创建/使用活动 规则书
4.1.2 创建/使用活动 规则书
原书:Android Application Secure Design/Secure Coding Guidebook
译者:飞龙
创建或向活动发送意图时,请务必遵循以下规则。
4.1.2.1 仅在应用内部使用的活动必须设置为私有(必需)
仅在单个应用中使用的活动,不需要能够从其他应用接收任何意图。 开发人员经常假设,应该是私有的活动不会受到攻击,但有必要将这些活动显式设置为私有,以阻止恶意内容被收到。
AndroidManifest.xml
<!-- Private activity -->
<!-- *** POINT 3 *** Explicitly set the exported attribute to false. -->
<activity
android:name=".PrivateActivity"
android:label="@string/app_name"
android:exported="false" />
意图过滤器不应该设置在仅用于单个应用的活动中。 由于意图过滤器的特性,以及工作原理,即使您打算向内部的私有活动发送意图,但如果通过意图过滤器发送,则可能会无意中启动另一个活动。 更多详细信息,请参阅高级主题“4.1.3.1 结合导出属性和意图过滤器设置(用于活动)”。
AndroidManifest.xml(不推荐)
<!-- Private activity -->
<!-- *** POINT 3 *** Explicitly set the exported attribute to false. -->
<activity
android:name=".PictureActivity"
android:label="@string/picture_name"
android:exported="false" >
<intent-filter>
<action android:name="org.jssec.android.activity.OPEN />
</intent-filter>
</activity>
4.1.2.2 不要指定taskAffinity
(必需)
在 Android OS 中,活动由任务管理。 任务名称由根活动所具有的 Affinity 决定。 另一方面,对于根活动以外的活动,活动所属的任务不仅仅取决于 Affinity,还取决于活动的启动模式。 更多详细信息,请参阅“4.1.3.4 根活动”。
在默认设置中,每个活动使用其包名称作为其 Affinity。 因此,任务根据应用分配,因此单个应用中的所有活动都属于同一个任务。 要更改任务分配,您可以在AndroidManifest.xml
文件中显式声明 Affinity,或者您可以在发送给活动的意图中,设置一个标志。 但是,如果更改任务分配,则存在风险,即其他应用可能读取一些意图,它发送给属于其他任务的活动。
请务必不要在AndroidManifest.xml
文件中指定android:taskAffinity
,并使用默认设置,将 affinity 作为包名,以防止其他应用读取发送或接收的意图中的敏感信息。
以下是用于创建和使用私有活动的AndroidManifest.xml
示例文件。
AndroidManifest.xml
<application
android:icon="@drawable/ic_launcher"
android:label="@string/app_name" >
<!-- Private activity -->
<!-- *** POINT 1 *** Do not specify taskAffinity -->
<activity
android:name=".PrivateActivity"
android:label="@string/app_name"
android:exported="false" />
</application>
任务和 Affinity 的更多信息,请参阅“Google Android 编程指南” [2],Google 开发者 API 指南“任务和返回栈” [3],“4.1.3.3 读取发送到活动的意图”和“4.1.3.4 根活动”
[2] Author Egawa, Fujii, Asano, Fujita, Yamada, Yamaoka, Sano, Takebata, “Google Android Programming
Guide”, ASCII Media Works, July 2009[3] http://developer.android.com/guide/components/tasks-and-back-stack.html
4.1.2.3 不要指定launchMode
(必需)
活动的启动模式,用于控制启动活动时的设置,它用于创建新任务和活动实例。 默认情况下,它被设置为"standard"
。 在"standard"
设置中,新实例总是在启动活动时创建,任务遵循属于调用活动的任务,并且不可能创建新任务。 创建新任务时,其他应用可能会读取调用意图的内容,因此当敏感信息包含在意图中时,需要使用"standard"
活动启动模式设置。 活动的启动模式可以在AndroidManifest.xml
文件的android:launchMode
属性中显式设置,但由于上面解释的原因,这不应该在活动的声明中设置,并且该值应该保留为默认的"standard"
。
AndroidManifest.xml
<application
android:icon="@drawable/ic_launcher"
android:label="@string/app_name" >
<!-- Private activity -->
<!-- *** POINT 2 *** Do not specify launchMode -->
<activity
android:name=".PrivateActivity"
android:label="@string/app_name"
android:exported="false" />
</application>
请参阅“4.1.3.3 读取发送到活动的意图”和“4.1.3.4 根活动”。
4.1.2.4 不要为启动活动的意图设置FLAG_ACTIVITY_NEW_TASK
标志(必需)
执行startActivity()
或startActivityForResult()
时,可以更改Activity
的启动模式,并且在某些情况下可能会生成新任务。 因此有必要在执行期间不更改Activity
的启动模式。
要更改Activity
启动模式,使用setFlags()
或addFlags()
设置Intent
标志,并将该Intent
用作startActivity()
或startActivityForResult()
的参数。 FLAG_ACTIVITY_NEW_TASK
是用于创建新任务的标志。 当设置FLAG_ACTIVITY_NEW_TASK
时,如果被调用的Activity
不存在于后台或前台,则会创建一个新任务。 FLAG_ACTIVITY_MULTIPLE_TASK
标志可以与FLAG_ACTIVITY_NEW_TASK
同时设置。 在这种情况下,总会创建一个新的任务。 新任务可以通过任一设置创建,因此不应使用处理敏感信息的意图来设置这些东西。
// *** POINT 6 *** Do not set the FLAG_ACTIVITY_NEW_TASK flag for the intent to start an activity.
Intent intent = new Intent(this, PrivateActivity.class);
intent.putExtra("PARAM", "Sensitive Info");
startActivityForResult(intent, REQUEST_CODE);
另外,即使通过明确设置FLAG_ACTIVITY_EXCLUDE_FROM_RECENTS
标志创建了新任务,您也可能认为有一种方法可以防止读取Intent
的内容。 但是,即使使用此方法,内容也可以由第三方读取,因此您应该避免使用FLAG_ACTIVITY_NEW_TASK
。
请参阅“4.1.3.1 结合导出属性和意图过滤设置(针对活动)”,“4.1.3.3 读取发送到活动的意图”和“4.1.3.4 根活动”。
4.1.2.5 小心和安全地处理收到的意图
风险因Activity
的类型而异,但在处理收到的Intent
数据时,您应该做的第一件事是输入验证。
由于公共活动可以从不受信任的来源接收意图,它们可能会受到恶意软件的攻击。 另一方面,私有活动永远不会直接从其他应用收到任何意图,但目标应用中的公共活动可能会将恶意Intent
转发给私有活动,因此您不应该认为私有活动不会收到任何恶意输入。 由于伙伴活动和内部活动也有恶意意图转发给他们的风险,因此有必要对这些意图进行输入验证。
请参阅“3.2 仔细和安全地处理输入数据”
4.1.2.6 在验证签名权限由内部应用定义之后,使用内部定义的签名权限(必需)
确保在创建活动时,通过定义内部签名权限来保护您的内部活动。 由于在AndroidManifest.xml
文件中定义权限或声明权限请求不能提供足够的安全性,请务必参考“5.2.1.2 如何使用内部定义的签名权限,在内部应用之间进行通信”。
4.1.2.7 返回结果时,请注意目标应用产生的可能的信息泄露(必需)
当您使用setResult()
返回数据时,目标应用的可靠性将取决于Activity
类型。 当公共活动用于返回数据时,目标可能会成为恶意软件,在这种情况下,可能会以恶意方式使用该信息。 对于私有和内部活动,不需要过多担心返回的数据被恶意使用,因为它们被返回到您控制的应用。 伙伴活动中间有些东西。
如上所述,当从活动中返回数据时,您需要注意来自目标应用的信息泄漏。
public void onReturnResultClick(View view) {
// *** POINT 6 *** Information that is granted to be disclosed to a partner application can be returned.
Intent intent = new Intent();
intent.putExtra("RESULT", "Sensitive Info");
setResult(RESULT_OK, intent);
finish();
}
4.1.2.8 如果目标活动是预先确定的,则使用显式意图(必需)
当通过隐式意图使用Activity
时,Intent
发送到的Activity
由 Android OS 确定。 如果意图被错误地发送到恶意软件,则可能发生信息泄漏。 另一方面,当通过显式意图使用Activity
时,只有预期的Activity
会收到Intent
,所以这样更安全。 除非用户需要确定意图应该发送到哪个应用活动,否则应该使用显式意图并提前指定目标。
Intent intent = new Intent(this, PictureActivity.class);
intent.putExtra("BARCODE", barcode);
startActivity(intent);
Intent intent = new Intent();
intent.setClassName(
"org.jssec.android.activity.publicactivity",
"org.jssec.android.activity.publicactivity.PublicActivity");
startActivity(intent);
但是,即使通过显式意图使用其他应用的公共活动,目标活动也可能是恶意软件。 这是因为,即使通过软件包名称限制目标,恶意应用仍可能伪造与真实应用相同的软件包名称。 为了消除这种风险,有必要考虑使用伙伴或内部活动。
请参阅“4.1.3.1 组合导出属性和意图过滤器设置(对于活动)”
4.1.2.9 小心并安全地处理来自被请求活动的返回数据(必需)
根据您访问的活动类型,风险略有不同,但在处理作为返回值的收到的Intent
数据,您始终需要对接收到的数据执行输入验证。 公共活动必须接受来自不受信任来源的返回意图,因此在访问公共活动时,返回的意图实际上可能是由恶意软件发送的。 人们往往错误地认为,私有活动返回的所有内容都是安全的,因为它们来源于同一个应用。 但是,由于从不可信来源收到的意图可能会间接转发,因此您不应盲目信任该意图的内容。 伙伴和内部活动在私有和公共活动中间有一定风险。 一定也要对这些活动输入验证。 更多信息,请参阅“3.2 仔细和安全地处理输入数据”。
4.1.2.10 如果与其他公司的应用链接,请验证目标活动(必需)
与其他公司的应用链接时,确保确定了白名单。 您可以通过在应用内保存公司的证书散列副本,并使用目标应用的证书散列来检查它。 这将防止恶意应用欺骗意图。 具体实现方法请参考示例代码“4.1.1.3 创建/使用伙伴活动”部分。 技术细节请参阅“4.1.3.2 验证请求应用”。
4.2.11 提供二手素材时,素材应受到同等保护(必需)
当受到权限保护的信息或功能素材被另一个应用提供时,您需要确保它具有访问素材所需的相同权限。 在 Android OS 权限安全模型中,只有已获得适当权限的应用才可以直接访问受保护的素材。 但是,存在一个漏洞,因为具有素材权限的应用可以充当代理,并允许非特权应用程序访问它。 基本上这与重新授权相同,因此它被称为“重新授权”问题。 请参阅“5.2.3.4 重新授权问题”。
4.2.12 敏感信息的发送应该尽可能限制(推荐)
您不应将敏感信息发送给不受信任的各方。 即使您正在连接特定的应用程序,仍有可能无意中将Intent
发送给其他应用程序,或者恶意第三方可能会窃取您的意图。 请参阅“4.1.3.5 使用活动时的日志输出”。
将敏感信息发送到活动时,您需要考虑信息泄露的风险。 您必须假设,发送到公共活动的Intent
中的所有数据都可以由恶意第三方获取。 此外,根据实现,向伙伴或内部活动发送意图时,也存在各种信息泄漏的风险。 即使将数据发送到私有活动,也存在风险,意图中的数据可能通过
LogCat泄漏。 意图附加部分中的信息不会输出到
LogCat`,因此最好在那里存储敏感信息。
但是,不首先发送敏感数据,是防止信息泄露的唯一完美解决方案,因此您应该尽可能限制发送的敏感信息的数量。 当有必要发送敏感信息时,最好的做法是只发送给受信任的活动,并确保信息不能通过LogCat
泄露。
另外,敏感信息不应该发送到根活动。 根活动是创建任务时首先调用的活动。 例如,从启动器启动的活动始终是根活动。
根活动的更多详细信息,请参阅“4.1.3.3 发送到活动的意图”和“4.1.3.4 根活动”。