前言
随着移动互联网的飞速发展,移动端产品满天飞,深入各行各业,移动端安全已经变得跟PC端安全同等重要地位。但由于移动端自身特性,移动端操作系统以及应用程序的安全性做的还不是很成熟。因此,我们在开发移动端App的时候,要尽量多地避免安全漏洞问题。本文主要是从预防的角度出发,介绍一个静态代码扫描工具,在编译阶段来提前发现代码的安全漏洞。
FindSecurityBugs简介
FindSecurityBugs是Java静态分析工具FindBugs的插件,通过一系列的规则发现代码中的Java安全漏洞。这个工具可以集成在很多IDE中,包括Eclipse或IntelliJ。目前这个项目已经在安全社区中获得了不少关注度。该工具的最新版本还增加了专门针对Android端产品的漏洞类型。因此,它也是一个不错的移动端安全扫描工具。如果你想更详细的了解它,可以去访问FindeSecurityBugs的Github社区。
FindSecurityBugs用法
由于FindSecurityBugs是FindBugs的一个插件,因此我们使用它的时候先要下载FindBugs工具。你可以去FindBugs的官方网站获取最新的安装包,这里就不介绍安装过程了。
一、命令行方式
示例:
./findbugs -textui -low -html -output myreport.html /Users/darylzhang/Downloads/findbugs-3.0.1/test/
下面是常见参数说明
-home 定义findbugs2软件存放位置
-low 提交警告及任何级别以上报告
-medium 提交中,高级报告(默认)
-high 只提交高级警告
-xml 警告以 xml输出
-html 警告以 html输出
-output 定义输出的文件名
-onlyAnalyze 只分析指定的 class/package
-exclude 忽略指定的 class/package (必修以 xml定义过滤的命名)
-include 只输出指定的 class/package (必修以xml定义过滤的命名)
二、集成到Eclipse插件
1. 系统要求
首先要在电脑上安装Eclipse 3.3以上的版本,且安装JRE/JDK 1.5以上版本。
2. 安装FindBugs插件
1)通过Eclipse的站点更新功能可以将FindBugs自动下载并安装到Eclipse插件。
2)目前提供三个FindBugs的下载地址:
- http://findbugs.cs.umd.edu/eclipse/ :这个地址只提供官方Release版本
- http://findbugs.cs.umd.edu/eclipse-candidate/ :提供最新的预发布版本
- http://findbugs.cs.umd.edu/eclipse-daily/ :提供最新的每日构建版本
3)你也可以直接通过以下地址下载:http://prdownloads.sourceforge.net/findbugs/edu.umd.cs.findbugs.plugin.eclipse_3.0.1.20150306.zip?download ,然后解压到Eclipse的插件目录
4)下载FindSecurityBugs扩展包
下载地址:http://h3xstream.github.io/find-sec-bugs/download.htm
5)安装FindSecurityBugs扩展包
- 打开Eclipse偏好设置
- 进入Java->FindBugs选项
- 找到插件选项卡,导入扩展包
3. 报告配置
进入报告配置页面设置要扫描的Bug级别,比如我们这里只关注安全类型的bug的话,就只勾选Security选项。并设置报告级别为low,这样就可以尽可能多的报告所有问题。
4. 开始扫描
右键点击要扫描的工程,找到Finde Bugs菜单项,选择Find Bugs开始扫描。如下图所示。
- 查看报告
扫描完成后,我们可以进入Bug Explorer查看结果报告,当然如果没看到这个窗口,我们可以在Window—>Show view—>others里面调出来。
FindSecurityBugs能扫描的问题
这里简单介绍几种FindSecurityBugs能扫描出来的Android漏洞类型。
1. 外部文件读写权限漏洞
应用程序具有写入外部存储(一般是SD卡)的权限。开通了这个权限会导致多个安全隐患。比如,应用程序可以通过READ_EXTERNAL_STORAGE权限来获取存储在本地SD卡的文件,如果这些数据包含用户敏感信息,而且没有加密的话,那将会造成用户隐私的泄密。
存在风险的代码片段:
file file = new File(getExternalFilesDir(TARGET_TYPE), filename);
fos = new FileOutputStream(file);
fos.write(confidentialData.getBytes());
fos.flush();
修复建议:
fos = openFileOutput(filename, Context.MODE_PRIVATE);
fos.write(string.getBytes());
2. 广播
Broadcast intents可以被任何拥有相关权限的应用程序截获,从而获得敏感信息。
存在风险的代码片段:
Intent i = new Intent();
i.setAction("com.insecure.action.UserConnected");
i.putExtra("username", user);
i.putExtra("email", email);
i.putExtra("session", newSessionId);
this.sendBroadcast(v1);
修复建议:
Intent i = new Intent();
i.setAction("com.secure.action.UserConnected");
sendBroadcast(v1);
3. 写文件权限
我们通过写权限MODE_WORLD_READABLE来写文件的时候,有可能会把文件的内容暴露出来,如下代码片段:
fos = openFileOutput(filename, MODE_WORLD_READABLE);
fos.write(userInfo.getBytes());
解决方案:
fos = openFileOutput(filename, MODE_PRIVATE);
4. Webview的Javascript执行权限
开通Webview的Javascript执行权限意味着为XSS开通了后门,页面的渲染有可能会被反射XSS,存储XSS和DOM XSS所劫持。如下代码片段开通了Javascript权限:
WebView myWebView = (WebView) findViewById(R.id.webView);
WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);
这样,恶意代码可以通过如下的方式攻击你:
function updateDescription(newDescription) {
$("#userDescription").html("<p>"+newDescription+"</p>");
}
5. Webview暴露Javascript接口
在Android代码中使用JavaScript接口,将会暴露本地的API。只要加一个XSS触发器,JavaScript代码就可以调用你的Java类。如下代码片段:
WebView myWebView = (WebView) findViewById(R.id.webView);
myWebView.addJavascriptInterface(new FileWriteUtil(this), "fileWriteUtil");
WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);
[...]
class FileWriteUtil {
Context mContext;
FileOpenUtil(Context c) {
mContext = c;
}
public void writeToFile(String data, String filename, String tag) {
[...]
}
}
总结
代码扫描只是一种手段,毕竟规则有限,我们不能过分依赖。正在的移动安全还是需要我们的移动开发者增强安全意识,提高自己的代码防范能力,从而从代码源头避免安全漏洞。作为测试人员,也应该积极了解移动安全的常见漏洞,这样可以及早发现App的安全风险,保证产品的安全。
