hi 大家好,我是 DHL。專注分享最新技術原創文章,涉及 Kotlin、Jetpack、算法動畫、數據結構 、系統源碼、 LeetCode / 劍指 Offer / 多線程 / 國內外大廠算法題 等等。
Android 12 已來,你的 App 崩潰了嗎?我們已經開始做 Android 12 的適配了,在 Android 12 中包含了很多的功能和一些行為的變更,接下來我們一起來分析這些行為的變更對我們的應用產生了那些影響。
通過這篇文章你將學習到以下內容:
為什麼在 Android 12 上需要顯示聲明 android:exported 屬性?為什麼在 Android 12 上需要顯示指定 PendingIntent 的可變性?為什麼在 Android 12 上限制 adb 備份的默認行為?android:exported 屬性在 Android 12 中包含 <intent-filter> 的 activity 、 service 或 receiver 必須為這些應用組件顯示聲明 android:exported 屬性,如下所示。
<activity
android:name=".TestActivity"
android:exported="false">
<intent-filter>
.
</intent-filter>
</activity>如果在包含 <intent-filter> 的 activity 、 service 或 receiver 組件中,沒有顯示聲明 android:exported 的值,你的應用將無法安裝,錯誤日誌如下所示。
Installation did not succeed.
The application could not be installed: INSTALL_FAILED_VERIFICATION_FAILURE
List of apks:
[0] '.../build/outputs/apk/debug/app-debug.apk'
Installation failed due to: 'null'如果您的應用在需要聲明 android:exported 的值時未進行此聲明,錯誤日誌如下所示。
Targeting S+ (version 10000 and above) requires that an explicit value for \
android:exported be defined when intent filters are present如果對上面的異常產生的條件,不是很理解,可以點擊下方連結查看,目前已經有很多開源項目都已經開始適配這個行為的變更了,例如 leakcanary 等等,詳情前往查看下列地址:
https://github.com/square/leakcanary/pull/2074https://github.com/microsoft/appcenter-sdk-android/pull/1520這個行為的變更無論是對庫開發者 和 還是應用開發者影響都非常大。
為什麼在 Android 12 上需要顯示聲明 android:exported 屬性
android:exported 屬性的默認值取決於是否包含 <intent-filter>,如果包含 <intent-filter> 那麼默認值為 true,否則 false。
當 android:exported="true" 時,如果不做任何處理,可以接受來自其他 App 的訪問當 android:exported="false" 時,限制為只接受來自同一個 App 或一個具有相同 user ID 的 App 的訪問正因為 android:exported 的屬性的默認值的問題,Twicca App 發生過一次安全性問題,因為另一個沒有訪問 SD 卡或網絡權限的 App,可以通過 Twicca App 將存儲在 SD 卡上的圖片或電影上傳到 Twicca 用戶的 Twitter 帳戶上的社交網絡上。
產生問題的代碼如下所示:
<activity android:configChanges="keyboard|keyboardHidden|orientation" android:name=".media.yfrog.YfrogUploadDialog" android:theme="@style/Vulnerable.Dialog" android:windowSoftInputMode="stateAlwaysHidden">
<intent-filter android:icon="@drawable/yfrog_icon" android:label="@string/YFROG">
<action android:name="jp.co.vulnerable.ACTION_UPLOAD" />
<category android:name="android.intent.category.DEFAULT" />
<data android:mimeType="image/*" />
<data android:mimeType="video/*" />
</intent-filter>
</activity>因為添加了 intent-filter 所以 android:exported 的屬性的默認值為 true,因此可以接受來自其他 App 的訪問,進而造成了上述問題(通過 Twicca App 將存儲在 SD 卡上的圖片或電影上傳到 Twicca 用戶的 Twitter 帳戶上的社交網絡上),而解決方案有兩個:
方案一:添加 android:exported="false" 屬性<activity android:exported="false" android:configChanges="keyboard|keyboardHidden|orientation" android:name=".media.yfrog.YfrogUploadDialog" android:theme="@style/ VulnerableTheme.Dialog" android:windowSoftInputMode="stateAlwaysHidden" >
</activity>
方案二:Twicca App 沒有使用方式一,而是檢查調用者的包名是否與自身的包名相同public void onCreate(Bundle arg5) {
super.onCreate(arg5);
...
ComponentName v0 = this.getCallingActivity();
if(v0 == null) {
this.finish();
} else if(!jp.r246.twicca.equals(v0.getPackageName())) {
this.finish();
} else {
this.a = this.getIntent().getData();
if(this.a == null) {
this.finish();
}
...
}
}
}這種方案也是可行的,因為在一臺設備上,不可能會出現兩個包名相同的應用,更多詳細的信息可以前往查看 Restrict access to sensitive activities。
https://wiki.sei.cmu.edu/confluence/display/android/DRD09.+Restrict+access+to+sensitive+activities這僅僅是關於 activity 的安全漏洞的其中一個,在不同的場景下利用這些漏洞做的事情也可能不一樣。當然還有 service 和 receiver 組件也都是一樣,存在安全性問題。
指定 PendingIntent 的可變性在 Android 12 中創建 PendingIntent 的時候,需要顯示的聲明是否可變,請分別使用 PendingIntent.FLAG_MUTABLE 或 PendingIntent.FLAG_IMMUTABLE 標誌,如果您的應用試圖在不設置任何可變標誌的情況下創建 PendingIntent 對象,系統會拋出 IllegalArgumentException 異常,錯誤日誌如下所示。
PACKAGE_NAME: Targeting S+ (version 10000 and above) requires that one of \
FLAG_IMMUTABLE or FLAG_MUTABLE be specified when creating a PendingIntent.
Strongly consider using FLAG_IMMUTABLE, only use FLAG_MUTABLE if \
some functionality depends on the PendingIntent being mutable, e.g. if \
it needs to be used with inline replies or bubbles.為什麼在 Android 12 上需要顯示的指定 PendingIntent 的可變性
在 Adnroid 12 之前,默認創建一個 PendingIntent 它是可變的,因此其他惡意應用程式可能會攔截,重定向或修改此 Intent。(但是是有條件限制的)
一個 PendingIntent 是一個可以給另一個應用程式使用的 Intent,PendingIntent 接收待處理意圖的應用程式可以使用與產生待處理意圖的應用程式相同的權限和身份執行待處理意圖中指定的操作。
因此,創建待處理意圖時必須小心,為了安全性 Google 在 Android 12 中需要開發者自己來指定 PendingIntent 的可變性。
更多關於 PendingIntent 安全性介紹,可以前往查看 Always pass explicit intents to a PendingIntent。
adb 備份限制
https://wiki.sei.cmu.edu/confluence/display/android/DRD21-J.+Always+pass+explicit+intents+to+a+PendingIntentAndroid 開發者都應該知道這個命令 adb backup , 它可以備份應用的數據,在 Android 12 中,為了保護私有應用數據,用戶運行 adb backup 命令時,從設備導出的任何其他系統數據都不包含應用數據。
如果你在測試和開發過程中需要使用 adb backup 來備份應用數據,你可以在 AndroidManifest 中將 android:debuggable 設置為 true 來導出應用數據。
<application
android:name=".App"
android:debuggable="true"
./>注意:在發布應用前將 android:debuggable 設置為 false。
為什麼在 Android 12 上限制了 adb backup 命令的默認行為
因為這個存在嚴重的安全問題,當初 Google 為了提供 App 數據備份和恢復功能,可以在 AndroidManifest 中添加 android:allowBackup 屬性,默認值為 true, 當你創建一個應用的時候,會默認添加這個屬性,如下所示。
<application
android:name=".App"
android:allowBackup="true"
./>當 android:allowBackup="true" 時,用戶可以通過 adb backup 和 adb restore 命令對應用數據進行備份和恢復,也就是說可以在其他的 Android 手機上安裝同一個應用,通過如上命令恢復用戶的數據。
為了安全起見,我們在發布出去的 Apk 中一定要將 android:allowBackup 屬性設置為 false 來關閉應用程式的備份和恢復功能,以免造成信息洩露。國民級應用 XX 信, 在曾今發出的版本中 allowBackup 的屬性值是 true,被其他逆向開發者利用之後,現在的版本中這個值已經修改為 false了,有興趣的小夥們可以反編譯看看。
如何檢查 App 的安全漏洞在這裡推薦一個開源項目 linkedin/qark 這是由 LinkedIn 開源的項目,這個工具被設計用來尋找與安全相關的 Android 應用程式漏洞,無論是原始碼還是打包的 APK,具體的用法文檔上寫的非常的清楚了,這裡不做詳細的介紹了。
https://github.com/linkedin/qark這個開源項目的檢查結果,作為參考即可。當然也有很多公司花了重金去購買第三方的服務來檢查 App 的安全漏洞。
在 Android 12 上這幾個行為的變更它們都有一個共性:安全性,可見 Google 這幾年在安全上做了很多的努力,當然還有其他的一些行為的變更,可以前往查看 行為變更:以 Android 12 為目標平臺的應用。
https://developer.android.com/about/versions/12/behavior-changes-12
參考文章
https://developer.android.com/about/versions/12/behavior-changes-12https://github.com/square/leakcanary/pull/2074https://github.com/microsoft/appcenter-sdk-android/pull/1520https://wiki.sei.cmu.edu/confluence