AppCan应用在安全检测后的常见问题解决方案之Android篇(下)

继续问题列举

  1. 检测项目:下载任意APK漏洞
  • 关键词

apk

  • 详细报告

具有下载apk功能的组件存在导出漏洞,并且未对组件调用者进行校验。攻击者可利用导出组件的手段下载攻击者指定的任意apk文件,并且在下载过程中伪装apk文件的下载信息,例如图标、描述等,导致用户被诱导下载安装恶意应用。

1)检测出此APP有申请使用网络权限 
2)扫描代码,存在application/vnd.android.package-archive代码
检测出此APP存在下载任意APK漏洞风险
  • 解决方案

此问题经查并没有找到有关下载apk方面的代码存在在外部直接调用组件导致下载错误apk的地方。待查。

这个问题的意思应该是,代码中存在一个组件,比如activity或者广播之类的,能够直接在外面app唤起,然后传入合适的参数,就可以直接下载对应的apk了,代码中未校验发起方的身份。

  1. 检测项目:SecureRandom猜解漏洞
  • 关键词

SecureRandom

  • 详细报告

在SecureRandom生成随机数时,如果我们不调用setSeed方法,SecureRandom会从系统的中找到一个默认随机源。每次生成随机数时都会从这个随机源中取seed。在linux和Android中这个随机源位于/dev/urandom文件。 如果我们在终端可以运行cat /dev/urandom命令,会观察到随机值会不断的打印到屏幕上。 在Android 4.2以下,SecureRandom是基于老版的Bouncy Castle实现的。如果生成SecureRandom对象后马上调用setSeed方法。SecureRandom会用用户设置的seed代替默认的随机源。使得每次生成随机数时都是会使用相同的seed作为输入。从而导致生成的随机数是相同的。 该漏洞存在于Android系统随机生成数字串安全密钥的环节中。该漏洞的生成原因是对SecureRandom类的不正确使用方式导致的。 翻看Android的官方文档会发现。对于SecureRandom类的构造函数SecureRandom(byte[] seed)和SecureRandom#setSeed方法有一段安全性提醒:“Seeds this SecureRandom instance with the specified Seeding SecureRandom may be insecure”

总共检测SecureRandom【1】条 : 

    const-string v9, "RSA"
    invoke-static {v9}, Ljava/security/KeyPairGenerator;->getInstance(Ljava/lang/String;)Ljava/security/KeyPairGenerator;
    move-result-object v1
    .line 162
    .local v1, "keygen":Ljava/security/KeyPairGenerator;
    new-instance v7, Ljava/security/SecureRandom;
    invoke-direct {v7}, Ljava/security/SecureRandom;-><init>()V
    .line 164
    .local v7, "random":Ljava/security/SecureRandom;
    const-wide/16 v10, 0x3e8    invoke-virtual {v7, v10, v11}, Ljava/security/SecureRandom;->setSeed(J)V
com/hisun/b2c/api/cipher/RSA.smali

  • 解决方案

正确使用SecureRandom类不要使用自定义随机源代替系统默认随机源除非有特殊需求,在使用SecureRandom类时,不要调用以下函数:\r
SecureRandom::SecureRandom(byte[] seed)\r
SecureRandom::setSeed(long seed) SecureRandom::setSeed(byte[] seed)

此问题中,问题出现在com/hisun/b2c/api/cipher/RSA这个类所在的插件中,初步看并不是官方插件,需要检查这个自定义插件中的用法,按照解决方法中的说明修改。

  1. 检测项目:SSL证书使用规范检测
  • 关键词

SSL、https、证书

  • 详细报告

程序中在使用HTTPS 请求时开发者在封包传递时虽然使用了 SSL 加密链接,如果没有进行严格校验 SSL 证书,造成了可被抓包分析明文数据、修改封包重发的危险漏洞

总共检测资源文件中包含SSL关键类【7】条

检测代码中包含SSL关键类路径:
检测到包含ssl关键类路径
[/smali/com/amap/api/services/core/k$b.smali]
检测到包含ssl关键类路径
[/smali/com/baidu/lbsapi/auth/h.smali]
检测到包含ssl关键类路径
[/smali/org/zywx/wbpalmstar/platform/push/report/PushReportHttpClient$ESSLSocketFactory$1.smali]
检测到包含ssl关键类路径
[/smali/org/zywx/wbpalmstar/plugin/uexmultiHttp/HX509TrustManager.smali]
检测到包含ssl关键类路径
[/smali/com/baidu/location/ai.smali]
...
此处省略【2】条数据
...

  • 解决方案

引擎:

2015年之后的Android引擎版本已经剔除了包含漏洞的代码,替换为可配置是否校验的安全https请求方式。需要更换最新版的引擎。

插件:

  1. uexXmlHttpMgr插件,请使用最新版本(如果引擎没有升级4.x,插件就要用3.x的最新版本),以解决此问题。

  2. 上述问题中还发现在高德地图、百度SDK处存在的漏洞,需要更新uexBaiduMap、uexGaodeMap、uexLocation这些插件版本为最新,尝试修复此问题。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,454评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,553评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,921评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,648评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,770评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,950评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,090评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,817评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,275评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,592评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,724评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,409评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,052评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,815评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,043评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,503评论 2 361
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,627评论 2 350

推荐阅读更多精彩内容

  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,846评论 25 707
  • 写在前面 现在的安全检测机构都很套路,就这些东西,跑脚本自动检测,有的甚至也不管你里面是否已经做了保护,仅仅是有代...
    望山观海阅读 2,887评论 0 4
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,637评论 18 139
  • (一) 你是一封信 赶在这个冬之前 趁着安眠云还未降临梦里 你唱了首歌 也不哀怨,也不幽婉 皱巴巴 (二) 你是解...
    任披萨阅读 162评论 0 0
  • 清新的味道 在鼻尖绽放 像忽近忽远女子的香水 慵懒却奔放 苦涩的味道 在眼前炸开 像深海的荷尔蒙突然咆哮 深刻却外...
    坚强蓝阅读 286评论 1 0