針對Activity組件安全，作為一個安卓開發者來講需要在日常開發過程中註意兩點：
- Activity訪問許可權的控制
- Activity被劫持

本篇文章將分享Activity訪問許可權控制方面的安全問題，首先科普下基礎知識

研發基礎知識

Activity分類

       Activity類型和使用方式決定了其風險和防禦方式,故將Activity分類如下： Private、Public、Parter、In-house

Intent簡介

       Android中提供了Intent機制來協助應用間的交互與通訊，Intent負責對應用中一次操作的動作、動作涉及數據、附加數據進行描述，Android則根據此Intent的描述，負責找到對應的組件，將 Intent傳遞給調用的組件，並完成組件的調用。Intent不僅可用於應用程式之間，也可用於應用程式內部的Activity/Service之間的交互。因此，Intent在這裡起著一個媒體中介的作用，專門提供組件互相調用的相關信息，實現調用者與被調用者之間的解耦。在SDK中給出了Intent作用的表現形式為：

• 通過Context.startActivity() orActivity.startActivityForResult()
  啟動一個Activity；
• 通過 Context.startService() 啟動一個服務，或者通過Context.bindService() 和後臺服務交互；

• 通過廣播方法(比如 Context.sendBroadcast(),Context.sendOrderedBroadcast(),
  Context.sendStickyBroadcast()) 發給broadcast receivers。

  Intent可分為隱式（implicitly）和顯式（explicitly）兩種：

（1）顯式 Intent

       即在構造Intent對象時就指定接收者，它一般用在知道目標組件名稱的前提下，一般是在相同的應用程式內部實現的，如下：

Intent intent = new Intent(MainActivit.this, NewActivity.class);
startActivity(intent );  

上面那個intent中，直接指明瞭接收者：NewActivity

（2）隱式 Intent

       即Intent的發送者在構造Intent對象時，並不知道也不關心接收者是誰，有利於降低發送者和接收者之間的耦合，它一般用在沒有明確指出目標組件名稱的前提下，一般是用於在不同應用程式之間，如下：

Intent intent = new Intent();
intent.setAction("com.wooyun.test");
startActivity(intent);

       上面那個intent，沒有指明接收者，只是給了一個action作為接收者的過濾條件。

       對於顯式Intent，Android不需要去做解析，因為目標組件已經很明確，Android需要解析的是那些隱式Intent，通過解析，將Intent映射給可以處理此Intent的Activity、IntentReceiver或Service。

android:exported屬性

       在Activity中該屬性用來標示：當前Activity是否可以被外部程式啟動：true允許被啟動；false不允許被啟動。這裡的外部程式指的是簽名不同、用戶ID不同的程式，簽名相同用戶ID相同的程式在執行時桐鄉同一個進程空間，批次之間是沒有組件訪問限制的。

      該屬性如果被設置為了false，那麼這個Activity將只會被當前Application或者擁有同樣用戶ID的Application的組件調用。

       exported 的預設值根據Activity中是否有intent filter來定。沒有任何的filter意味著這個Activity只有在詳細的描述了他的class name後才能被喚醒。這意味著這個Activity只能在應用內部使用，因為其它application並不知道這個class的存在。所以在這種情況下，它的預設值是false。從另一方面講，如果Activity裡面至少有一個filter的話，意味著這個Activity可以被其它應用從外部喚起，這個時候它的預設值是true。

android:protectionLevel屬性

       對於需要付費的操作以及可能涉及到用戶隱私的操作，Android中提供android:protectionLevel屬性，可以對一些訪問進行了限制，如網路訪問（需付費）以及獲取聯繫人（涉及隱私）等。應用程式如果想要進行此類訪問，則需要申請相應許可權。Android對這些許可權進行了四類分級，不同級別的許可權對應不同的認證方式。

normal:預設值。低風險許可權，只要申請了就可以使用，安裝時不需要用戶確認。

dangerous：像WRITE_SETTING和SEND_SMS等許可權是有風險的，因為這些許可權能夠用來重新配置設備或者導致話費。使用此protectionLevel來標識用戶可能關註的一些許可權。Android將會在安裝程式時，警示用戶關於這些許可權的需求，具體的行為可能依據Android版本或者所安裝的移動設備而有所變化。

signature：這些許可權僅授予那些和本程式應用了相同密鑰來簽名的程式。

signatureOrSystem:與signature類似，除了一點，系統中的程式也需要有資格來訪問。這樣允許定製Android系統應用也能獲得許可權，這種保護等級有助於集成系統編譯過程。

Activity組件已知產生的安全問題

1. 惡意調用頁面
2. 惡意接收數據
3. 惡意發送廣播、啟動應用服務
4. 調用組件，惡意接收組件返回的數據

烏雲網漏洞報告實例

1快玩瀏覽器android客戶端本地拒絕服務

2雪球android客戶端本地拒絕服務漏洞

3Tencent Messenger(QQ) Dos vulnerability(critical)

4Tencent WeiBo multiple Dos vulnerabilities(critical)

5Android原生的Settings應用存在必現崩潰問題（可造成拒絕服務攻擊） (涉及fragment)

6隱式啟動intent包含敏感數據,攻擊模型如下圖：

研發人員該如何預防

private activity

      私有Activity不應被其他應用啟動且應該確保相對是安全的

關於Intent的使用

• 謹慎處理接收的Intent以及其攜帶的信息
• 當Activity返回數據時候需註意目標Activity是否有泄露信息的風險
• 目標Activity十分明確時儘量使用顯示啟動
• 謹慎處理Activity返回的數據，目的Activity返回的數據有可能是惡意應用偽造的
• 驗證目標Activity是否惡意app，以免受到Intent欺騙，可用hash簽名驗證
• 儘可能的不發送敏感信息，應考慮到啟動public Activity中Intent的信息均有可能被惡意應用竊取的風險

設置android:exported屬性

      不需要被外部程式調用的組件應該添加android:exported=”false”屬性，這個屬性說明它是私有的，只有同一個應用程式的組件或帶有相同用戶ID的應用程式才能啟動或綁定該服務。

<activity  
          android:name=".HomeActivity"  
          android:label="@string/app_name"  
          android:screenOrientation="portrait"   
          android:exported="false">

設置特定組件的訪問許可權

      對於希望Activity能夠被特定的外部程式訪問，可以為其設置訪問許可權，具體做法有三種：

（1）組件添加android：permission屬性。

<activity android:name=".AnotherActivity" 
        ndroid:label="@string/app_name"  
        android:permission="com.wooyun.custempermission">
</activity>

（2）protectionLevel許可權聲明

exported屬性只是用於限制Activity是否暴露給其他app，通過配置文件中的許可權申明也可以限制外部啟動activity

<permission android:description="wooyun"    
        android:label="wooyun"    
        android:name="com.wooyun.custempermission"    
        android:protectionLevel="normal">    
</permission>

protectionLevel有四種級別normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem時，只有相同簽名時才能調用。

（3）聲明

<uses-permission android:name="com.wooyun.custempermission" />

總結 這樣聲明的Activity在被調用時，Android就會檢查調用者是否具有com.wooyun.custempermission許可權，如果沒有就會觸發SecurityException異常。

暴露組件的代碼檢查

      Android 提供各種 API 來在運行時檢查、執行、授予和撤銷許可權。這些 API是 android.content.Context 類的一部分，這個類提供有關應用程式環境的全局信息。

if (context.checkCallingOrSelfPermission("com.wooyun.custempermission")  
        != PackageManager.PERMISSION_GRANTED) {  
            // The Application requires permission to access the    
            // Internet");  
} else {  
    // OK to access the Internet  
}