OWASP-Kategorie: MASVS-CODE: Codequalität
Übersicht
Die mit benutzerdefinierten Berechtigungen verbundenen Risiken treten auf, wenn entweder die Definition der benutzerdefinierten Berechtigungen fehlt oder falsch geschrieben ist oder wenn das entsprechende android:protectionLevel
-Attribut im Manifest missbraucht wird.
Diese Risiken können beispielsweise ausgenutzt werden, indem eine benutzerdefinierte Berechtigung mit demselben Namen erstellt wird, die aber von einer schädlichen App definiert und mit unterschiedlichen Schutzebenen angewendet wird.
Mit benutzerdefinierten Berechtigungen können Sie Ressourcen und Funktionen für andere Apps freigeben. Beispiele für eine rechtmäßige Verwendung benutzerdefinierter Berechtigungen:
- Interprozesskommunikation (IPC) zwischen zwei oder mehr Apps steuern
- Zugriff auf Dienste von Drittanbietern
- Zugriff auf die freigegebenen Daten einer App einschränken
Positiv beeinflussen
Wenn diese Sicherheitslücke ausgenutzt wird, kann eine schädliche App Zugriff auf Ressourcen erhalten, die ursprünglich geschützt werden sollten. Die Auswirkungen der Sicherheitslücke hängen von der geschützten Ressource und den zugehörigen Berechtigungen des ursprünglichen Anwendungsdienstes ab.
Risiko: Tippfehler bei benutzerdefinierten Berechtigungen
Im Manifest kann eine benutzerdefinierte Berechtigung deklariert werden, aber aufgrund eines Tippfehlers wird eine andere benutzerdefinierte Berechtigung zum Schutz der exportierten Android-Komponenten verwendet. Eine schädliche Anwendung kann Apps ausnutzen, bei denen eine Berechtigung falsch geschrieben wurde, indem sie
- Diese Berechtigung zuerst registrieren
- Rechtschreibung in nachfolgenden Anwendungen antizipieren
Dies kann einer Anwendung unbefugten Zugriff auf Ressourcen oder die Kontrolle über die Zielanwendung ermöglichen.
Beispiel: In einer angreifbaren App soll eine Komponente mithilfe der Berechtigung READ_CONTACTS
geschützt werden, aber die Berechtigung wird versehentlich als READ_CONACTS
geschrieben. Eine schädliche App kann READ_CONACTS
beanspruchen, da sie nicht zu einer Anwendung (oder dem System) gehört, und so Zugriff auf die geschützte Komponente erhalten. Eine weitere gängige Variante dieser Sicherheitslücke ist android:permission=True
. Werte wie true
und false
sind unabhängig von der Groß- und Kleinschreibung ungültige Eingaben für die Berechtigungsdeklaration und werden wie Tippfehler in anderen benutzerdefinierten Berechtigungsdeklarationen behandelt. Um das Problem zu beheben, muss der Wert des Attributs android:permission
in einen gültigen Berechtigungsstring geändert werden. Wenn die App beispielsweise auf die Kontakte des Nutzers zugreifen muss, sollte der Wert des Attributs android:permission
android.permission.READ_CONTACTS
sein.
Abhilfemaßnahmen
Android Lint-Prüfungen
Wenn Sie benutzerdefinierte Berechtigungen deklarieren, können Sie mit Android-Lint-Prüfungen Tippfehler und andere potenzielle Fehler in Ihrem Code finden.
Namenskonvention
Verwenden Sie eine einheitliche Namenskonvention, damit Tippfehler leichter zu erkennen sind. Prüfen Sie die Erklärungen zu benutzerdefinierten Berechtigungen im Manifest Ihrer App sorgfältig auf Tippfehler.
Risiko: Verwaiste Berechtigungen
Berechtigungen werden verwendet, um die Ressourcen von Apps zu schützen. Es gibt zwei verschiedene Stellen, an denen eine App die für den Zugriff auf Ressourcen erforderlichen Berechtigungen angeben kann:
- AndroidManifest.xml: In der Datei „AndroidManifest.xml“ vordefiniert (wenn nicht angegeben, werden
<application>
-Berechtigungen verwendet), z.B. Berechtigung für Dienstanbieter, Berechtigung für Empfänger, Berechtigung für Aktivitäten, Berechtigung für Dienste; - Code: Im Laufzeitcode registriert, z.B.
registerReceiver()
.
Manchmal sind diese Berechtigungen jedoch nicht durch ein entsprechendes <permission>
-Tag in einem Manifest eines APK auf dem Gerät definiert. In diesem Fall werden sie als verwaiste Berechtigungen bezeichnet. Das kann verschiedene Ursachen haben, z. B.:
- Es kann zu einer Desynchronisierung zwischen den Aktualisierungen im Manifest und dem Code mit der Berechtigungsprüfung kommen.
- Das APK mit den Berechtigungen ist möglicherweise nicht im Build enthalten oder die falsche Version ist enthalten.
- Der Name der Berechtigung in der Prüfung oder im Manifest könnte falsch geschrieben sein.
Eine schädliche App könnte eine verwaiste Berechtigung definieren und erwerben. In diesem Fall können die privilegierten Anwendungen, die der verwaisten Berechtigung vertrauen, um eine Komponente zu schützen, manipuliert werden.
Wenn die App mit erhöhten Berechtigungen die Berechtigung verwendet, um eine Komponente zu schützen oder einzuschränken, kann dies der schädlichen App Zugriff auf diese Komponente gewähren. Beispiele hierfür sind das Starten von Aktivitäten, die durch eine Berechtigung geschützt sind, der Zugriff auf einen Inhaltsanbieter oder die Übertragung an einen Broadcastempfänger, der durch die verwaiste Berechtigung geschützt ist.
Es kann auch zu einer Situation kommen, in der die privilegierte Anwendung dazu verleitet wird, zu glauben, dass die schädliche App eine legitime App ist, und daher Dateien oder Inhalte lädt.
Abhilfemaßnahmen
Achten Sie darauf, dass alle benutzerdefinierten Berechtigungen, die Ihre App zum Schutz von Komponenten verwendet, auch in Ihrem Manifest definiert sind.
Die App verwendet die benutzerdefinierten Berechtigungen my.app.provider.READ
und my.app.provider.WRITE
, um den Zugriff auf einen Inhaltsanbieter zu schützen:
XML
<provider android:name="my.app.database.CommonContentProvider" android:readPermission="my.app.provider.READ" android:writePermission="my.app.provider.WRITE" android:exported="true" android:process=":myappservice" android:authorities="my.app.database.contentprovider"/>
Die App definiert und verwendet auch diese benutzerdefinierten Berechtigungen, um zu verhindern, dass andere schädliche Apps dies tun:
XML
<permission android:name="my.app.provider.READ"/>
<permission android:name="my.app.provider.WRITE"/>
<uses-permission android:name="my.app.provider.READ" />
<uses-permission android:name="my.app.provider.WRITE" />
Risiko: Missbrauch von android:protectionLevel
Dieses Attribut beschreibt das potenzielle Risikoniveau der Berechtigung und gibt an, welche Verfahren das System bei der Entscheidung, ob die Berechtigung gewährt werden soll, einhalten sollte.
Abhilfemaßnahmen
Vermeiden Sie das Schutzniveau „Normal“ oder „Gefährlich“
Wenn Sie eine normale oder riskante protectionLevel
für Ihre Berechtigungen verwenden, können die meisten Apps die Berechtigung anfordern und erhalten:
- Bei „normal“ muss es nur deklariert werden.
- „gefährlich“ wird von vielen Nutzern genehmigt
Daher bieten diese protectionLevels
nur wenig Sicherheit.
Signaturberechtigungen verwenden (Android >= 10)
Verwenden Sie nach Möglichkeit Schutzniveaus für Signaturen. Durch diese Funktion können nur andere Apps, die mit demselben Zertifikat signiert sind wie die App, die die Berechtigung erstellt hat, auf diese geschützten Funktionen zugreifen. Verwenden Sie ein spezielles (nicht wiederverwendetes) Signaturzertifikat und speichern Sie es sicher in einem Schlüsselspeicher.
Definieren Sie eine benutzerdefinierte Berechtigung in Ihrem Manifest so:
XML
<permission
android:name="my.custom.permission.MY_PERMISSION"
android:protectionLevel="signature"/>
So können Sie den Zugriff auf eine Aktivität beispielsweise auf nur die Apps beschränken, denen diese benutzerdefinierte Berechtigung gewährt wurde:
XML
<activity android:name=".MyActivity" android:permission="my.custom.permission.MY_PERMISSION"/>
Jede andere App, die mit demselben Zertifikat signiert ist wie die App, die diese benutzerdefinierte Berechtigung erklärt hat, erhält dann Zugriff auf die .MyActivity
-Aktivität und muss sie in ihrem Manifest so deklarieren:
XML
<uses-permission android:name="my.custom.permission.MY_PERMISSION" />
Vorsicht bei benutzerdefinierten Berechtigungen für Signaturen (Android < 10)
Wenn Ihre App auf Android < 10 ausgerichtet ist, können bösartige Apps, die die benutzerdefinierten Berechtigungen Ihrer App aufgrund von Deinstallationen oder Updates nicht mehr verwenden können, diese Berechtigungen weiterhin verwenden und so Prüfungen umgehen. Das liegt an einer Sicherheitslücke (CVE-2019-2200
) zur Berechtigungsausweitung, die in Android 10 behoben wurde.
Dies ist einer der Gründe (neben dem Risiko von Race-Zuständen), warum Signaturprüfungen anstelle von benutzerdefinierten Berechtigungen empfohlen werden.
Risiko: Race-Bedingung
Wenn eine legitime App A
eine benutzerdefinierte Signaturberechtigung definiert, die von anderen Apps X
verwendet wird, aber anschließend deinstalliert wird, kann eine schädliche App B
dieselbe benutzerdefinierte Berechtigung mit einem anderen protectionLevel
definieren, z.B. normal. Auf diese Weise erhält B
Zugriff auf alle Komponenten, die in den X
-Apps durch diese benutzerdefinierte Berechtigung geschützt sind, ohne dass sie mit demselben Zertifikat wie die App A
signiert werden muss.
Dasselbe passiert, wenn B
vor A
installiert wird.
Abhilfemaßnahmen
Wenn Sie eine Komponente nur für Apps verfügbar machen möchten, die mit derselben Signatur wie die bereitstellende App signiert sind, können Sie möglicherweise die Definition benutzerdefinierter Berechtigungen zum Einschränken des Zugriffs auf diese Komponente vermeiden. In diesem Fall können Sie Unterschriftenprüfungen verwenden. Wenn eine Ihrer Apps eine Anfrage an eine andere Ihrer Apps sendet, kann die zweite App prüfen, ob beide Apps mit demselben Zertifikat signiert sind, bevor sie der Anfrage nachkommt.
Ressourcen
- Berechtigungsanfragen minimieren
- Berechtigungen – Übersicht
- Beschreibung der Schutzniveaus
- CustomPermissionTypo Android Lint
- Android Lint verwenden
- Forschungspapier mit ausführlicher Erklärung der Android-Berechtigungen und interessanten Ergebnissen aus Fuzz-Tests