本地拒绝服务

在X项目的截屏反馈SDK中com.meituan.android.screenshot.ScreenShotActivity该组件导出,未正确处理捕获异常,导致竞争对手或恶意应用可以任意crash该APP。

以下代码可以任意打开截屏反馈的Window

public void onClick(View v) {
    Intent i = new Intent();
    i.setClassName("com.meituan.qcs.c.android", "com.meituan.android.screenshot.ScreenShotFloatWindowActivity");
    i.putExtra("screen_shot_img_uri", "suntaiwang");
    startActivity(i);
}

防护措施

  1. 私有的Activity、Service等组件相对安全,需要设置exported为false。
  2. 公开的组件,需要谨慎处理接收到的数据:对接收到的任何数据做try-catch处理,对于不符合预期的数据做异常处理,异常处理包括不限于空指针、类型转换、数据越界、类未定义、序列化异常等。返回的数据中不应该包含敏感信息。

android:exported

android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都有的一个属性。

主要作用是:是否支持其它应用调用当前组件。

默认值:如果包含有intent-filter 默认值为false; 没有intent-filter默认值为true。true表示当前的组件可以被另一个Application的组件启动,false表示不允许。但是设置了false的话,该组件只会被当前的Application或者拥有相同user ID的Application的组件启动。

Permission Denial

可以成功startActivity而不会得到Permission Denial的情况

java.lang.SecurityException: Permission Denial: starting Intent { cmp=com.meituan.qcs.c.android/.ui.user.UserInfoActivity (has extras) } from ProcessRecord{9e7e853 21880:com.example.home.checkbug/u0a239} (pid=21880, uid=10239) not exported from uid 10238

  1. 同一个application下
  2. Uid相同
  3. permission匹配
  4. 目标Activity的属性Android:exported=”true”
  5. 目标Activity具有相应的IntentFilter,存在Action动作或其他过滤器并且没有设置exported=false
  6. 启动者的Pid是一个System Server的Pid
  7. 启动者的Uid是一个System Uid(Android规定android.system.uid=1000,具有该Uid的application,我们称之为获得Root权限)

注意:满足一条,一般即可(与其他几条不发生强制设置冲突),否则将会得到Permission Denial的Exception而导致Force Close。


如果供应方需要将某些Activity、Service等组件共享出去,有三种方法。

  1. 完全暴露,也就是android:exported=”true”的作用。
  2. 权限提示暴露,在声明文件中设置android:permission=”xxx.xxx.xx”,启动方必须在application的Manufest中usepermission xxx.xxx.xx才能访问。
  3. 私有暴露,假如说一个公司做了两个产品,只想这两个产品之间可互相调用,那么这个时候就必须使用shareUserID将两个软件的Uid强制设置为一样的。这种情况下必须使用具有该公司签名的签名文档才能,如果使用一个系统自带软件的ShareUID,例如Contact,那么无须第三方签名。

供应方和使用方都需要添加以下代码,sharedUserId的值要相同。用户ID在应用程序安装到设备中时被分配,并且在这个设备中保持它的永久性。一个mainfest只能有一个Shareuserid标签。

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.home.shareuserid"
    android:sharedUserId="com.example.home">
</manifest>

如果没有使用方没有添加,而是直接去访问供应方的组件信息、data目录等,会报Permission denied。

//通过给定的包名参数,拿到对应应用的context
//Context.CONTEXT_INCLUDE_CODE:这个标志是在我们需要执行插件中的某段代码需要加上的值,可以通过反射的方式调用其他app的代码
//CONTEXT_IGNORE_SECURITY:这个标志是必须的,是忽视安全性,如果没有这个值的话,那么我们访问什么都是失败的。
Context otherAppContext = createPackageContext("com.example.home.checkbug", CONTEXT_IGNORE_SECURITY);
SharedPreferences sp = otherAppContext.getSharedPreferences("sp", MODE_PRIVATE);
String text = sp.getString("key", "meiyou");

com.example.home.shareuserid W/ContextImpl: Failed to ensure /data/user/0/com.example.home.checkbug/shared_prefs: mkdir failed: EACCES (Permission denied)

Uid机制

Pid是进程ID,Uid是用户ID,只是Android和计算机不一样,计算机每个用户都具有一个Uid,哪个用户start的程序,这个程序的Uid就是那个用户,而Android中每个程序都有一个Uid,默认情况下,Android会给每个程序分配一个普通级别互不相同的Uid,如果要互相调用,只能是Uid相同才行,这就使得共享数据具有了一定安全性,每个软件之间是不能随意获得数据的。而同一个application只有一个Uid,所以application下的Activity之间不存在访问权限的问题。

如果一个activity是又system process跑出来的,那么它就可以横行霸道,任意权限,只是无法开发一个第三方application具有系统的Pid(系统Pid不固定),但是完全可以开发一个具有系统Uid的程序,对系统中的所有程序任意访问,只需再Manufest中声明shareUserId为android.uid.system即可,生成的文件也必须经过高权限签名才行,一般不具备这种审核条件的application,google不会提供给你这样的签名文件。当然你是在编译自己的系统的话,想把它作成系统软件程序,只需在Android.mk中声明Certificate:platform则可以了,即采用系统签名。这个系统Uid的获得过程,我们把它叫做获得Root权限的过程。例如很多第三方系统管理软件有了Root权限的软件,他就可以系统有任意访问的权限。但是它的Root签名则需要和编译的系统一致,例如官方的系统得用官方的签名文件,CM的系统就得用CM的签名文件。

android.uid.system是系统软件的sharedUserId,将自己的应用的sharedUserId设置为这个,是不能进行安装的,因为系统在安装的时候会验证是否具有系统的签名。

Android中对uid的定义是Root最高,其次是system,最低的是app。

系统的安全机制通过给每个用户分配单独的uid和pid来实现,Android系统中pid代表进程ID,这个是有系统在程序运行时分配的,这一点可以防止地址空间的数据共享,增强内存空间的安全性。对于外部则用到了uid进行封锁.

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,968评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,601评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,220评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,416评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,425评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,144评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,432评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,088评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,586评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,028评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,137评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,783评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,343评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,333评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,559评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,595评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,901评论 2 345