求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Modeler   Code  
会员   
 
  
 
 
     
   
分享到
Android平台通用安全问题分析及策略
 
发布于2013-7-2
 

一、Android安全问题产生的根源

研究人员已发现Android上的流行软件普遍存在安全陷阱与安全漏洞,漏洞频发的原因可能有很多,主要有如下几种:

与一切都是集中管理的IOS相比,Android提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性。

开发团队通常将精力集中在产品设计、功能实现、用户体验和系统等方面,而很少考虑安全问题。

Android提供的安全机制比较复杂,开发者需要理解它们,并对相应的攻击思路和攻击方法有所了解,才能有效地保护软件。

一方面,目前很少出现对特定移动软件安全漏洞的大规模针对性攻击,在真实的攻击出现之前,许多人对此并不重视,另一方面,利用这些漏洞展开攻击并不太难,许多攻击方法和工具都已经成熟,一旦出现这种攻击,用户的个人隐私数据可能发生泄漏,账户信息可能被收集,如果与钓鱼等攻击结合,甚至可能产生经济损失。产品开始团队则可能由此面临信任危机和法律风险。

下面简单的例举几个不注重安全的现象,这些也是我们Android开发团队容易忽略的地方。

二、数据存储安全问题

Android软件可以使用的存储区域分外部(SD卡)和内部(NAND闪存)二种,除了大小和位置不同之外,两者在安全权限上也有很大的区别。外部存储的文件没有读写权限的管理,所有应用软件都可以随意创建、读取、修改、删除位于外部存储中的任何文件,而Android的应用则只需要申明READ_EXTERNAL_STORAGE和WRITE_EXTERNAL_STORAGE权限。

内部存储则为每个软件分配了私有区域,并有基本Linux的文件权限控制,其中每个文件的所有者ID均为该软件设立的一个用户ID,其他软件无权读写这些文件。

关于数据存储可能出现的问题包括如下几点:

将隐私数据明文保存在外部存储

例如,聊天软件或社交软件将聊天记录、好友信息、社交信息等存储在SD卡上;备份软件将通信录、短信等备份到SD卡上等,如果这些数据是直接明文保存(包括文本格式、XML格式、SQLite数据库格式等)的,那么攻击者写的软件可以将其读取出来,并加传到指定的服务器,造成隐私信息泄露。较好的做法是对这些数据进行加密,密码保存在内部存储,由系统托管或者由用户使用时输入。

将系统数据明文保存在外部存储

例如,备份软件和系统辅助将用户数据备份到安装的其他的SD卡,以便刷机或升级后进行恢复等;或者将一些系统数据缓存在SD卡上供后续使用,同样的,这些数据是明文保存的,恶意软件可以读取它们,有可能用于展开进一步的攻击。

将软件运行时依赖的数据保存在外部存储

如果软件将配置文件存储在SD卡上,然后在运行期间读取这些配置文件,并其中的数据决定如何工作,也可能产生问题。攻击者编写的软件可以修改这些配置文件,从而控制这些软件的运行。例如将登录使用的服务器列表存储在SD卡中,修改后,登录连接就会被发往攻击者指定的服务器,可能导致账户泄露或会话劫持(中间人攻击)。

对这种配置文件,较安全的方法是保存到内部存储;如果必须存储到SD卡,则应该在每次使用前检验它是否被篡改,与预先保存在内部的文件哈希值进行比较。

将软件安装包或者二进制代码保存在外部存储

现在很多软件都推荐用户下载并安装其他软件;用户点击后,会联网下载另一个软件的APK文件,保存到SD卡然后安装。

也有一些软件为了实现功能扩展,选择动态加载并执行二进制代码。例如,下载包含了扩展功能的DEX文件或JRA文件,保存到SD卡,然后在软件运行时,使用dalvik.system.DexClassLoader类或者java.lang.ClassLoader类加载这些文件,再通过Java反射,执行其中的代码。

如果安装或者加载前,软件没有对SD卡 的文件进行完整性验证,判断其是否可能被篡改和伪造,就可能出现安全问题。

在这里,攻击者可以使用称为“重打包”(re-packaging)的方法,目前大量Android恶意代码已经采用这一技术,重打包的基本原理是,将APK文件反汇编,得到 Dalivik指令的smali语法表示 ;然后在其中添加、修改、删除等一些指令序列,并适当改动Manifest文件;最后,将这些指令重新汇编并打包成新的APK文件,再次签名,就可以给其他手机安装了,通过重打包,攻击者可以加入恶意代码、改变数据或指令,而软件原有功能和界面基本不会受到影响,用户难以察觉。

如果攻击者对软件要安装的APK文件或要加载DEX、JAR文件重打包,植入恶意代码,或修改其代码;然后在SD卡上,用其替换原来的文件,或者拷贝到要执行或加载 的路径,当软件没有验证这些文件的有效性时,就会运行攻击者的代码攻击。结果有很多可能,例如直接发送扣费短信,或者将用户输入的账户密码发送给指定的服务器,或者弹出钓鱼界面等。

因此,软件应该在安装或加载位于SD卡的任何文件之前,对其完整性做验证,判断其与实现保存在内部存储中的(或从服务器下载来的)哈希值是否一致。

全局可读写的内部文件

如果开发者使用openFileOutPut(String name,int mode)方法创建内部文件时,将第二个参数设置为Context.MODE_WORLD_READABLE或者Context.MODE_WORLD_WRITEABLE,就会让这个文件变为全局可读或全局可写的。

开发者这样做是为了实现不同软件之间的数据共享,但这种问题在于无法控制哪个软件可以读写,所以攻击者的恶意软件也拥有这一权限。

如果要跨应用有种较好的方法是实现一个Content Provider 组件,提供数据的读写接口并为读写操作分别设置一个自定义的权限。

内部敏感文件被root权限软件读写

如果攻击者的软件已获得root权限,自然可以随意读写其他软件的内部文件,这种情况 并不少见。

1)大量的第三方定制ROM提供了root 权限管理工具,如果攻击者构造的软件伪造成一些功能强大的工具。可以欺骗用户授予它root权限。

2)即便手机预装的官方系统,国内用户也大多乐于解锁,即recovery并刷入toot管理工具。

3)在Android2.2和2.3中,存在一些可用于获取root权限的漏洞,并且对这种漏洞的利用不需要用户的确认。

4)因此,我们并不能假设其他软件无法获取root权限。即使是存在内部数据,依然有被读取或修改的可能。

5)前面提到,重要、敏感、隐私的数据应使用内部存储,现在又遇到root后这些数据依然可能被读取的问题。我对这个问题的观点是,如果攻击者铤而走险获取root权限(被用户或者被安全软件发现的风险),那理论上他已经拥有了系统的完整控制权,可以直接获得联系人信息、短信记录等,甚至账户密码、会话凭证、账户数据等。例如,早期Google钱包将用户的信用卡数据明文存储,攻击者获取这些数据后,可以伪装成持卡人进行进一步攻击以获得账户使用权。这种数据就是“其他软件管理的重要数据”。

6)这个问题并没有通用的解决方法,开发者可能需要根据实际情况寻找方案,并在可用性与安全性之前做出恰当的选择。

三、网络通信安全问题

Android软件通常使用WIFI网络与服务器进行通信。WiFi并非总是可靠的,例如,开放式网络或弱加密网络中,接入者可以监听网络流量;攻击者可能 自己设置WIFI网络钓鱼。此外,在获得root权限后,还可以在Android系统中监听网络数据。

不加密地明文传输敏感数据

最危险的是直接使用HTTP协议登录账户或交换数据。例如,攻击者在自己设置的钓鱼网络中配置DNS服务器,将软件要连接的服务器域名解析至攻击者的另一台服务器在,这台服务器就可以获得用户登录信息,或者充当客户端与原服务器的中间人,转发双方数据。

早期,国外一些著名社交网站的Android客户端的登录会话没有加密,后来出现了黑客工具FaceNiff,专门嗅探这些会话并进行劫持(它甚至支持在WEP、WPA、WPA2加密的WIFI网络上展开攻击),这 是目前我所知的唯一一个公开攻击移动软件漏洞的案例。

这类问题的解决方法很显然-----对敏感数据采用基于SSL/TLS的HTTPS进行传输。

SSL通信不检查证书有效性

在SSL/TLS通信中,客户端通过数字证书判断服务器是否可信,并采用证书的公钥与服务器进行加密通信。

然而,在开发者在代码中不检查服务器证书的有效性,或选择接受所有的证书时,例如,开发者可以自己实现一个X509TrustManager接口,将其中的CheckServerTrusted()方法实现为空,即不检查服务器是否可信或者在SSLSoketFactory的实例中,通过setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIET),接受所有证书。做出这种选择的可能原因是,使用了自己生成了证书,客户端发现证书没有和可信CA 形成信任链,出现 了CertificateException等异常。

这种做法可能导致的问题是中间人攻击。

在钓鱼Wifi网络中,同样地,攻击者可以通过设置DNS服务器使客户端与指定的服务器进行通信。攻击者在服务器上部署另一个证书,在会话建立阶段,客户端会收到这张证书,如果客户端忽略这个证书上的异常,或者接受这个证书,就会成功建立会话、开始加密通信。但攻击者拥有私钥,因此可以解密得到客户端发来数据的明文。攻击者还可以模拟客户端,与真正的服务器联系,充当中间人做监听。

解决问题的一种方法是从可信CA申请一个证书。但在移动软件开发中,不推荐这种方法。除了申请证书的时间成本和经济成本外,这种验证只判断了证书是否CA可信的,并没有验证服务器本身是否可信,例如,攻击者可以盗用其他可信证书,或者盗取CA私钥为自己颁发虚假证书,这样的攻击事件在过去二年已经有多次出现。

事实上,在移动软件大多只和固定的服务器通信,因此可以在代码更精确地直接验证是否某张特定的证书,这种方法称为“证书锁定”(certificate pinning)。实现证书的方法有二种:一种是前文提到的实现X509TrustManager接口,另一种则是使用keystore.具体可以参考Android开发文档中的HttpsURLConnection类的概述。

使用短信注册账户或接收密码

也有软件使用短信进行通信,例如自动发送短信来注册、用短信接收初始密码、用短信接收用户重置密码等。

短信并不是一种安全的通信方式。恶意软件只要申明了SEND_SMS 、RECEIVE_SMS和READ_SMS这些权限,就可以通过系统提供的API向任意号码发送任意短信、接收指定号码发来的短信并读取其内容,甚至拦截短信。这些方法 已在Android恶意代码中普遍使用,甚至2011年就已经出现拦截并回传短信中的网银验证码(mTANs)的盗号木马Zitmo。

因此,这种通过短信注册或接收密码的方法,可能引起假冒注册、恶意密码重置、密码窃取等攻击,此外,这种与手机号关联的账户还可能产生增值服务、危险更大。较好的实现方式还是走Intent。

四、不安全的密码和认证策略

明文存储和编码存储密码

许多软件有“记住密码”的功能。如果开发者依字面含义将密码存储在本地,可能导致泄漏。

另外,有的软件不是直接保存密码,而是和Base64、固定字节或字符串异或、ProtoBuf等方法对密码然后存储在本地,这些编码也不会增加密码的安全性,采用 smali、dex2jar、jd-gui、IDA Pro等工具,攻击者可以对Android软件进行反汇编和反编译。攻击者可以借此了解软件对密码的编码方法和编码参数。

较好的做法是,使用基于凭据而不是密码的协议满足这种资源持久访问的需求,例如OAuth.

对外服务器的弱密码或固定密码

另一种曾引起关注的问题是,部分软件向外提供网络服务,而不使用密码或使用固定密码,例如,系统辅助软件经常在WiFi下开启FTP服务,部分软件对这个FTP服务不用密码或者用固定密码。在开放或钓鱼的WiFi网络下,攻击者也可以扫描到这个服务并直接访问。

还有弱密码的问题,例如,早期Google钱包的本地访问密码是4位数字,这个密码的SHA256值 被存储在内部存储中,4位数字一共只有10000种情况,这样攻击软件即使是在手机上直接暴力破解,都可以在短时间内获得密码。

使用IMEI或IMSI作为唯一认证凭据

IMEI、IMSI是用于标识手机设备、手机卡的唯一编号。如果使用IMSI或IMEI作为用户的唯一凭据,可能导致假冒用户的攻击。

首先,应用要获取手机IMEI、手机卡的IMSI不需要特殊权限。事实上许多第三方广告会回传它们用于用户统计。其次得到IMEI或IMSI后,攻击者有多种方法伪造成用户与服务器进行通信。例如,将原软件重打包,使其中获取IMEI、IMSI的代码始终返回指定的值;或者修改Android代码,使相关API始终返回指定的值,编译为ROM在模拟器中运行;甚至可以分析客户端与服务器的通信协议,直接模拟客户端的网络行为。

因此,若使用IMEI或IMSI作为认证唯一凭据,攻击者可能获得服务器原用户账户及数据。

五、一些供参考的安全机制

除了上文中讲述的一些安全问题,采用相应的安全配置手段进行安全加固外。用户在使用Android平台的时候,还可以采用如下的一些安全机制。

使用Android 智能型手机内建的安全功能

让智能型手机保持安全最有效的方法就是正确的设定位置与安全性。可以在『位置与安全性』选项内设定。设定智能型手机的PIN 码或密码锁定功能也是个好方法。虽然需要输入密码才能从待机中回复使用似乎有点浪费时间。但是在手机不慎遗失时,这可以帮你保持资料安全。

如果这还不够,你也可以选择使用指纹锁定功能。这可能是最好的办法,因为它能确保你是唯一可以使用你智能型手机内资料的人。提醒大家记住,使用上述这些安全设定总是比没有来的好。有了密码,毕竟就有了一道锁来防止犯罪分子存取你的资料。

停用WiFi自动连接

除了正确地设定Android 智能型手机的『位置与安全性』选项,停用自动连接无线网络也有帮助,尽管它的确是挺方便的功能。

免费的无线网络总是有一些安全上的疑虑。连上一个开放网络可能简单、方便又免费,但这样做是有风险的。自动连接开放的无线网络就等于开放大门给几乎所有人。你的智能型手机跟无线路由器或AP 之间的数据可以自由的传输。因此,就算你可能并不希望,但任何在同一网络上的人都可以看到。

个人电脑使用者所面对的威胁,Android 智能型手机的使用者也同样可能会遇到。就像是透过自动连接无线网络所带来的风险,特别是那些没有安全设定的网络。停用自动连接无线网络选项也是另一个保持手机远离威胁的方法。

封锁从官方应用商店以外的应用程式来源

第一个 Android 木马是以Windows 多媒体播放器的模样出现。很快地,另个新的Android 木马出现在某个中国的第三方软件商店。虽然我们不能保证官方应用商店下载的应用绝对安全。但由于它属于官方,所以我们还是可以假设它比其他人更值得信赖些。

也因为如此,我们建议你设定禁止安装非来自官方应用商店的应用。这将带给你的智能手机多一层的保护。

接受授权要求时先确认

在分析恶意的Android 应用程式时,我们发现这些程序通常会要求你允许他们存取许多储存在手机内的资料。一个最近的例子是木马化的 Android Market Security Tool.它会要求权限去发送简讯到服务号码,知道目前位置,查看储存的简讯和更改你的系统设定。提供你的授权去让它能够成为一个后门程式。它会收集设备资讯并且传送到远端URL .同时也会在未经授权下去执行其他功能,像是修改通话记录,监看拦截简讯以及下载视讯档。

接受授权要求时,要小心那些要求存取个人及设备资讯,还有其他该应用程式不会用到的权限。要先想想这应用程式是作什么的。比方说,如果不是电话簿软体,就不需要权限去存取联络人列表。

考虑安装有效的手机安全软件

有时候,光是小心手机软体的下载和安装是不够的。因为网络犯罪分子不会停止开发新的巧妙手法来诱骗你去泄漏个人资料。有效的安全解决方案仍然是最好的选择。

为了能够随时随地得到保护,你可以使用解决方案像是360安全卫士、金山毒霸、腾讯手机管家等。这可以保护你储存在手机上的数字资料,并保护你在Android 智能手机上所进行的银行交易。它甚至可以在恶意软体下载到手机之前就先识别并封锁它,让你能够更加安心。

 
相关文章

手机软件测试用例设计实践
手机客户端UI测试分析
iPhone消息推送机制实现与探讨
Android手机开发(一)
 
相关文档

Android_UI官方设计教程
手机开发平台介绍
android拍照及上传功能
Android讲义智能手机开发
相关课程

Android高级移动应用程序
Android系统开发
Android应用开发
手机软件测试
 
分享到
 
 


android人机界面指南
Android手机开发(一)
Android手机开发(二)
Android手机开发(三)
Android手机开发(四)
iPhone消息推送机制实现探讨
手机软件测试用例设计实践
手机客户端UI测试分析
手机软件自动化测试研究报告
更多...   


Android高级移动应用程序
Android应用开发
Android系统开发
手机软件测试
嵌入式软件测试
Android软、硬、云整合


领先IT公司 android开发平台最佳实践
北京 Android开发技术进阶
某新能源领域企业 Android开发技术
某航天公司 Android、IOS应用软件开发
阿尔卡特 Linux内核驱动
艾默生 嵌入式软件架构设计
西门子 嵌入式架构设计
更多...