Day-310-Android 组件安全

# Day 327: Android 组件安全 - Activity/Service/Broadcast/ContentProvider

> 移动安全系列第 7 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [组件安全概述](#组件安全概述)
2. [Activity 安全](#activity-安全)
3. [Service 安全](#service-安全)
4. [Broadcast 安全](#broadcast-安全)
5. [ContentProvider 安全](#contentprovider-安全)
6. [组件安全测试](#组件安全测试)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 组件安全概述

### 四大组件

**组件类型**：
```
Activity:
- 用户界面
- 任务栈管理
- Intent 启动

Service:
- 后台服务
- 长时间运行
- 绑定/启动

BroadcastReceiver:
- 广播接收
- 系统事件
- 应用间通信

ContentProvider:
- 数据共享
- URI 访问
- 跨应用数据
```

**安全风险**：
```
组件劫持:
- Intent 欺骗
- 组件导出
- 权限绕过

数据泄露:
- Intent 数据
- Provider 数据
- 共享文件

权限滥用:
- 隐式 Intent
- 广播注入
- 服务调用
```

---

## Activity 安全

### 启动安全

**Intent 过滤**：
```xml

<activity
    android:name=".MainActivity"
    android:exported="false" />

<activity
    android:name=".PublicActivity"
    android:exported="true"
    android:permission="com.example.PERMISSION" />

<activity
    android:name=".SecureActivity"
    android:exported="true">
    <intent-filter>
        <action android:name="com.example.ACTION" />
        <category android:name="android.intent.category.DEFAULT" />
        <data android:scheme="example" />
    </intent-filter>
</activity>
```

**启动验证**：
```java
// 验证调用者
public class SecureActivity extends Activity {
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        
        // 验证调用者包名
        String callerPackage = getCallingPackage();
        if (!"com.trusted.app".equals(callerPackage)) {
            finish();
            return;
        }
        
        // 验证调用者签名
        if (!verifyCallerSignature()) {
            finish();
            return;
        }
    }
    
    private boolean verifyCallerSignature() {
        try {
            PackageInfo info = getPackageManager().getPackageInfo(
                getCallingPackage(),
                PackageManager.GET_SIGNATURES
            );
            // 验证签名
            return true;
        } catch (Exception e) {
            return false;
        }
    }
}
```

### 任务栈安全

**任务栈攻击**：
```
攻击场景:
1. 攻击者启动恶意 Activity
2. 恶意 Activity 启动目标 Activity
3. 目标 Activity 在攻击者任务栈
4. 点击返回回到攻击者 Activity

防护:
- taskAffinity 配置
- launchMode 配置
- alwaysRetainTaskState
```

**安全配置**：
```xml
<activity
    android:name=".SecureActivity"
    android:taskAffinity=""
    android:launchMode="singleTask"
    android:alwaysRetainTaskState="false"
    android:excludeFromRecents="true" />
```

---

## Service 安全

### 服务启动安全

**导出控制**：
```xml

<service
    android:name=".InternalService"
    android:exported="false" />

<service
    android:name=".SecureService"
    android:exported="true"
    android:permission="com.example.BIND_SERVICE" />

<service
    android:name=".BindService"
    android:exported="true">
    <intent-filter>
        <action android:name="com.example.BIND" />
    </intent-filter>
</service>
```

**绑定验证**：
```java
public class SecureService extends Service {
    @Override
    public IBinder onBind(Intent intent) {
        // 验证调用者
        if (!verifyCaller()) {
            return null;
        }
        
        return binder;
    }
    
    private boolean verifyCaller() {
        // 验证调用者包名
        String callerPackage = getCallingPackage();
        
        // 验证调用者 UID
        int callingUid = getCallingUid();
        
        // 验证签名
        return verifySignature(callingUid);
    }
}
```

### 前台服务安全

**前台服务**：
```java
// 创建前台服务
public class ForegroundService extends Service {
    @Override
    public void onCreate() {
        super.onCreate();
        
        // 创建通知渠道 (Android 8.0+)
        createNotificationChannel();
        
        // 启动前台服务
        Notification notification = buildNotification();
        startForeground(1, notification);
    }
    
    private void createNotificationChannel() {
        NotificationChannel channel = new NotificationChannel(
            "foreground_service",
            "Foreground Service",
            NotificationManager.IMPORTANCE_LOW
        );
        
        NotificationManager manager = getSystemService(NotificationManager.class);
        manager.createNotificationChannel(channel);
    }
}
```

---

## Broadcast 安全

### 广播安全

**广播类型**：
```
普通广播:
- 异步发送
- 多接收者
- 无法拦截

有序广播:
- 同步发送
- 优先级顺序
- 可拦截修改

本地广播:
- 应用内广播
- 不跨应用
- 性能更好
```

**安全配置**：
```xml

<receiver
    android:name=".SystemReceiver"
    android:exported="true">
    <intent-filter>
        <action android:name="android.intent.action.BOOT_COMPLETED" />
    </intent-filter>
</receiver>

<receiver
    android:name=".SecureReceiver"
    android:exported="true"
    android:permission="com.example.SEND_BROADCAST" />

<receiver
    android:name=".LocalReceiver"
    android:exported="false" />
```

### 广播注入防护

**发送安全广播**：
```java
// 使用权限发送广播
Intent intent = new Intent("com.example.SECURE_ACTION");
intent.setPackage("com.trusted.app"); // 指定包名
sendBroadcast(intent, "com.example.RECEIVE_PERMISSION");

// 使用本地广播
LocalBroadcastManager.getInstance(this)
    .sendBroadcast(new Intent("com.example.LOCAL_ACTION"));
```

**接收安全广播**：
```java
// 注册接收器时指定权限
IntentFilter filter = new IntentFilter("com.example.SECURE_ACTION");
registerReceiver(receiver, filter, "com.example.SEND_PERMISSION", null);

// 验证发送者
public class SecureReceiver extends BroadcastReceiver {
    @Override
    public void onReceive(Context context, Intent intent) {
        // 验证发送者
        int callingUid = getCallingUid();
        if (!isTrustedUid(callingUid)) {
            return;
        }
        
        // 处理广播
    }
}
```

---

## ContentProvider 安全

### 数据共享安全

**导出控制**：
```xml

<provider
    android:name=".InternalProvider"
    android:authorities="com.example.internal"
    android:exported="false" />

<provider
    android:name=".SecureProvider"
    android:authorities="com.example.secure"
    android:exported="true"
    android:readPermission="com.example.READ_DATA"
    android:writePermission="com.example.WRITE_DATA" />

<provider
    android:name=".FileProvider"
    android:authorities="com.example.files"
    android:exported="false"
    android:grantUriPermissions="true">
    <path-permission
        path="/public"
        readPermission="com.example.READ_PUBLIC" />
</provider>
```

### URI 安全

**路径安全**：
```xml

<paths>
    <files-path
        name="my_files"
        path="." />
    <cache-path
        name="my_cache"
        path="." />
    <external-files-path
        name="my_external_files"
        path="." />
</paths>
```

**URI 权限**：
```java
// 授予临时 URI 权限
Intent intent = new Intent(Intent.ACTION_VIEW);
Uri uri = FileProvider.getUriForFile(
    context,
    "com.example.files",
    file
);
intent.setData(uri);
intent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISSION);
startActivity(intent);

// 撤销 URI 权限
context.revokeUriPermission(
    uri,
    Intent.FLAG_GRANT_READ_URI_PERMISSION
);
```

### SQL 注入防护

**安全查询**：
```java
// 不安全：SQL 注入风险
Cursor cursor = db.rawQuery(
    "SELECT * FROM users WHERE name = '" + userInput + "'",
    null
);

// 安全：使用参数化查询
Cursor cursor = db.query(
    "users",
    null,
    "name = ?",
    new String[]{userInput},
    null,
    null,
    null
);

// Provider 安全查询
public Cursor query(Uri uri, String[] projection,
        String selection, String[] selectionArgs,
        String sortOrder) {
    
    // 验证 URI
    if (!isValidUri(uri)) {
        throw new IllegalArgumentException("Invalid URI");
    }
    
    // 验证选择参数
    if (!isValidSelection(selection)) {
        throw new IllegalArgumentException("Invalid selection");
    }
    
    // 执行查询
    return database.query(...);
}
```

---

## 组件安全测试

### 静态分析

**Manifest 检查**：
```xml

<activity android:exported="true" />  
<service android:exported="false" />

<activity android:permission="com.example.PERMISSION" />

<intent-filter>  
    <action android:name="..." />
</intent-filter>
```

**工具使用**：
```bash
# 使用 MobSF 分析
mobsf.py apk_file.apk

# 使用 QARK 分析
qark --apk apk_file.apk

# 使用 Android Lint
./gradlew lint
```

### 动态测试

**组件测试**：
```bash
# 启动 Activity
adb shell am start -n com.example/.Activity

# 启动 Service
adb shell am startservice -n com.example/.Service

# 发送广播
adb shell am broadcast -a com.example.ACTION

# 查询 Provider
adb shell content query --uri content://com.example.provider/data
```

**Intent 测试**：
```bash
# 测试隐式 Intent
adb shell am start -a com.example.ACTION \
  -d "scheme://data" \
  -t "type"

# 测试组件劫持
adb shell am start -n com.example/.Activity \
  --ei extra_key 123
```

---

## 总结与思考

### 核心要点回顾

1. **Activity 安全**：导出控制、启动验证、任务栈安全
2. **Service 安全**：绑定验证、前台服务、权限控制
3. **Broadcast 安全**：广播类型、注入防护、本地广播
4. **ContentProvider 安全**：导出控制、URI 安全、SQL 注入防护
5. **组件测试**：静态分析、动态测试、工具使用

### 深入思考

**安全挑战**：
- 组件导出风险
- Intent 欺骗
- 数据泄露
- 权限绕过

**防护策略**：
- 最小导出原则
- 权限验证
- 数据加密
- 输入验证

### 最佳实践

**开发建议**：
- 默认不导出组件
- 使用显式 Intent
- 验证调用者身份
- 最小权限原则

**测试建议**：
- 静态分析检查
- 动态测试验证
- 渗透测试
- 代码审查

---

## 参考资料

### 学习资源

- **Android Components**: https://developer.android.com/guide/components
- **Android Security**: https://source.android.com/security
- **OWASP Mobile Top 10**: https://owasp.org/www-project-mobile-top-10/

### 工具资源

- **MobSF**: https://github.com/MobSF/Mobile-Security-Framework-MobSF
- **QARK**: https://github.com/linkedin/qark
- **Drozer**: https://github.com/WithSecureLabs/drozer

---

*Day 327 完成 | Android 组件安全详解 | 字数：约 15,000 字 (拆分版)*