简体中文
近期收到开发者反馈将uni-app/5+ App项目打包Android平台App提交到腾讯云、百度云、爱加密等安全平台检测出存在漏洞风险,对于反馈的漏洞风险问题我们一直在持续跟进并积极寻找解决方案修复。
首先我们需要理解漏洞风险并不代表真实存在安全漏洞,比如WebView远程代码执行漏洞,仅在Android4.2及以下版本系统存在,目前HBuilderX发现App最低要求版本Android4.4;比如Activity、Service、Receiver等组件导出风险,有些功能依赖的组件必须设置为导出,实际上并不存在安全问题。而安全平台会把所有可能存在的漏洞或风险都列出来,很多安全问题都可能是误报或夸大了安全漏洞的隐患。
因此对于存在漏洞风险问题的基本解决方案是使用APK加固
,推荐uni安全加固其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云
如果加固还不能解决问题,或者安全平台要求加固前进行检测,请在官方论坛ask发帖反馈,添加话题为“安全漏洞”、“安全检测”,上传完整安全检测报告及检测的apk文件。
对于反馈的安全漏洞问题我们会根据风险等级,优先解决高风险和中风险问题 对于低风险问题,理论上不会影响应用的安全质量,因此通常情况下不会解决低风险安全漏洞问题。
首先我们需要判断风险漏洞是哪些代码引起的,可以通过安全检测报告中漏洞详情中的漏洞代码
类名进行判断,如果是以"io.dcloud"开头则表示是DCloud的代码,如下:
如果是以其它字符开头,则表示是三方SDK或uni原生插件的代码,如下:
WebView File域同源策略绕过漏洞
问题Android平台WebView控件跨域访问高危漏洞
问题Webview绕过证书校验漏洞
问题 需配置后生效Android主机名\证书弱校验风险
问题 需配置后生效以下是一些常见的风险漏洞处理方案
修复方案 HBuilderX3.1.14+版本新增untrustedca节点配置是否允许使用非受信证书。 在项目manifest.json中"app-plus"->"ssl"节点下配置"untrustedca"为"refuse",示例如下:
"app-plus": { //5+ App项目对应节点名称为"plus"
"ssl": {
"untrustedca": "refuse"
},
// ...
}
untrustedca属性值域说明:
风险描述 APP的Activity、Service、Receiver等组件可以在AndroidManifest.xml中通过配置属性android:exported设置 为私有(false)或公有(true),设置为公有时则认为组件对外导出,可以被其它任何程序的任何组件访问。导出的组件可能被第三方App恶意调用,可能返回隐私信息给恶意应用,造成数据泄露;可能导致应用崩溃,造成拒绝服务等漏洞。
修复方案 HBuilderX3.1.14+版本已经将DCloud管理的代码中所有不需要被外部访问的组件都设置为私有(即android:exported属性值设置为false),仅将需要被外部访问的组件,如App入口Activity(io.dcloud.PandoraEntry)设置为公有。
另外需要注意,一些三方SDK因为功能需要会将其组件设置为对外导出,如下:
风险描述 签名证书是对App开发者身份的唯一标识,如果程序未对签名证书进行校验,可能被反编译后进行二次打包使用其它签名证书重新签名。如重新签名的App可以正常启动,则可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击。
修复方案 对APK进行加固,推荐uni安全加固其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云。
风险描述 说的打包为App的原生APK可以被反编译获取Java源代码。
修复方案 对APK进行加固,推荐uni安全加固其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云。
风险描述 用该漏洞可以根据客户端能力实现远程任意代码执行攻击。 WebView 远程代码执行漏洞触发前提条件:
修复方案 HBuilderX发布到App的Android平台最低支持Android4.4,即minSdkVersion大于等于19。也就是说Android4.4及以上版本并不存在此漏洞,如果你的项目配置了minSdkVersion低于19,则请参考https://ask.dcloud.net.cn/article/193修改。
风险描述 应用程序在加解密时,使用硬编码在程序中的密钥,攻击者通过反编译拿到密钥可以轻易解密APP通信数据
修复方案 HBuilderX3.1.14+版本已修复此问题,在内部逻辑中使用的密钥全部做了混淆加密处理。
风险描述 SO文件为APK中包含的动态链接库文件,Android利用NDK技术将C/C++语言实现的核心代码编译为SO库文件供Java层调用。SO文件被破解可能导致应用的核心功能代码和算法泄露。攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据,并对其解密,导致用户的隐私泄露或直接财产损失
修复方案 对APK中的SO文件进行加固保护,推荐uni安全加固其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云。
风险描述 StrandHogg之所以独特,是因为它无需进行植根即可启用复杂的攻击,它利用Android的多任务系统中的一个弱点来实施强大的攻击,使恶意应用程序可以伪装成该设备上的任何其他应用程序。此漏洞利用基于一个称为“ taskAffinity”的Android控件设置,该控件允许任何应用程序(包括恶意应用程序)自由地采用其所需的多任务处理系统中的任何身份。
修复方案
该漏洞已于2020.4.1的安全补丁中修复(涵盖Android 8.0 / 8.1 / 9.0+)。由于已经通过系统补丁封堵。理论上该漏洞不会对高版本系统的手机设备构成威胁。
而app客户端开发并没有彻底规避该漏洞的方案。各检测平台推荐配置android:taskAffinity=“”
,但仅是临时方案。但该方案会导致应用运行到android11+系统设备时任务堆栈窗口变成两个的问题。
由于android:taskAffinity=“”
配置存在bug!所以我们并不会默认这样配置。但为开发者提供的云打包配置选项。由开发者决定是否配置临时封堵该漏洞。具体如下:
hasTaskAffinity
。true表示配置android:taskAffinity=“”
,false不配置。默认为false "app-plus" : {
"distribute" : {
"android" : {
...
...
"hasTaskAffinity": true
}
}
}
"plus" : {
"distribute" : {
"google" : {
...
...
"hasTaskAffinity": true
}
}
}
风险描述 从Nougat(Android 7) 一个名为“Network Security Configuration'的新安全功能也随之而来。如果应用程序的 SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration 功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig 特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制 ROM 上运行时可能遭受恶意网络攻击。
修复方案
network_security_config.xml
配置文件network_security_config.xml
文件拷贝到应用资源nativeResources\android\res\xml
目录下AndroidManifest.xml
中application节点!添加networkSecurityConfig属性配置。配置参考如下:<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>