Android13 加強Intent filters 的安全性

前言：

在看這個變更之前，我們需要回憶下 Android 12 的一個安全性變更， 即聲明瞭 <intent-filter> 的Activity、BroadcastReceiver、Service 必須聲明 android:exported， 否則將會無法被啟動。

Android 12 的這個變更是為瞭防止開發者在不知情的情況下，聲明瞭一個 intent-filter 就會使得這些組件對外公開，一定程度下強化瞭安全性。

但是卻漏掉瞭顯式 Intent 啟動和 Broadcast Receiver 動態註冊兩種情況，便在 13 中分別推出瞭兩項變更來進行加強。

• Intent filters block non- -matching intents
• Safer exporting of context- -registered receivers

Intent filters block non-matching intents

Android 13 開始 Intent 過濾器會屏蔽不匹配的 intent，即便是指定瞭 Component 的顯式啟動。

在 13 以前：

• 開發者想給 Component 添加 支持
• 這個 需要公開給外部 App 使用，便設定瞭 Component exported 為 true
• 這時候該 Component 就出現瞭一個安全漏洞：外部 App 使用不同於 中聲明的 Action，甚至 mimeType 都不匹配均可以啟動它

也許你覺得這並沒有什麼，但是如果 App 隻針對 過來的 Route 做瞭安全校驗，就造成瞭校驗上的疏漏。

具體變更

假如我們提供瞭的 Activity 像如下一樣聲明：

<activity
    android:name=".MainActivity"
    android:exported="true">
    <intent-filter>
        <action android:name="android.intent.action.MAIN" />
        <category android:name="android.intent.category.LAUNCHER" />
    </intent-filter>
    <intent-filter>
        <action android:name="android.intent.action.TEST" />
        <data android:mimeType="vnd.android.cursor.dir/event"/>
    </intent-filter>
</activity>

在 13 之前，其他 App 采用瞭顯式啟動，即便是錯誤的 ACTION 是可以正常啟動我們的 Activity。

private fun testIntentFilters() {
    Intent().setComponent(
        ComponentName("com.example.demoapplication",
            "com.example.demoapplication.MainActivity")
    ).apply {
        action = "android.intent.action.TEST_A"
        startActivity(this)
    }
}

而運行在 13 上的話，將無法啟動並會發生如下錯誤：

PackageManager: Intent does not match component's intent filter: Intent { act=android.intent.action.TEST_A cmp=com.example.demoapplication/.MainActivity }

PackageManager: Access blocked: ComponentInfo{com.example.demoapplication/com.example.demoapplication.MainActivity}

除瞭 ACTION 修改正確以外，data 也要滿足即 Intent-filter 完全符合才可以啟動。

private fun testIntentFilters() {
    Intent().setComponent(
        ComponentName("com.example.demoapplication",
            "com.example.demoapplication.MainActivity")
    ).apply {
        action = "android.intent.action.TEST"
        data = CalendarContract.Events.CONTENT_URI
        startActivity(this)
    }
}

豁免

如下的幾種場景下的 Intent 並不在本次變更的影響范圍內：

• 目標 Component 沒有聲明 <intent-filter>
• 同一個 App 內部發出的 Intent
• 系統發出的 Intent，包括 SystemServer、采用 System UID 的系統 App
• Root 進程發出的 Intent

適配辦法

如果目標運行的版本基於 Android 13，並且不是上述豁免對象的話，需要做些檢查和必要的修改。

按照啟動方和目標方兩種情況進行適配辦法的探討：

• 作為啟動方：
  • 是否存在采用顯式 Intent 方式啟動其他 App 或發送廣播的情況
    • startActivity()
    • startActivityForResult()
    • sendBroadcast()
  • 該 Component 是否聲明瞭 <intent-filter>
  • 防止其 Target 升級到瞭 Android 13 無法正常啟動，需要註意 Intent 的 action、data 等信息是否準確
• 作為目標方：
  • Target 是否需要升級到 Android 13
  • 是否對外提供瞭 Component 並聲明瞭 <intent-filter>
  • 防止無法被正常啟動，需要告知啟動方 <intent-filter> 的信息

殘留

13 上實測發現 Service 組件在顯式啟動下，即便是錯誤的 ACTION，仍能被正常啟動。這是有意為之還是 Beta 版漏洞，源碼尚未公開，原因未知。

• startService()
• startForegroundService()
• bindService()

Safer exporting of context-registered receivers

為瞭幫助提高運行時接收器的安全性，Android 13 允許您指定您應用中的特定廣播接收器是否應被導出以及是否對設備上的其他應用可見。

如果導出廣播接收器，其他應用將可以向您的應用發送不受保護的廣播。此導出配置在以 Android 13 或更高版本為目標平臺的應用中可用，有助於防止一個主要的應用漏洞來源。

具體變更

TargetSDK 升級到 Android13 的 App 在動態註冊 Receiver 的時候不指明該 flag，那麼會收到如下的 crash：

java.lang.SecurityException: com.example.demoapplication: One of RECEIVER_EXPORTED or RECEIVER_NOT_EXPORTED should be specified when a receiver isn't being registered exclusively for system broadcasts

目前上述限制不是默認生效的，需要開啟如下兼容性變更：

• 開發者選項 -> App Compatibility Changes -> Your App -> DYNAMIC_RECEIVER_EXPLICIT_EXPORT_REQUIRED

另外，當你的 Receiver 聲明瞭 RECEIVER_NOT_EXPORTED 的話，其他 App 向其發送廣播會失敗，並打印如下日志提醒你的 Receiver 需要公開：

BroadcastQueue: Exported Denial: sending Intent { act=com.example.demoapplication.RECEIVER flg=0x10 }, action: com.example.demoapplication.RECEIVER from com.example.tiramisu_demo (uid=10161)

due to receiver ProcessRecord{8e5f11c 16942:com.example.demoapplication/u0a158} (uid 10158) not specifying RECEIVER_EXPORTED

豁免

需要留意的是，系統級廣播是受保護的，普通 App 沒有權限發送。

所以隻是監聽系統廣播的話，動態註冊的 Receiver 無需指定上述 flag。即便指定瞭 RECEIVER_NOT_EXPORTED，和靜態註冊方式一致也能正常接收、不受影響。

適配辦法

找到所有動態註冊 Broadcast Receiver 的代碼。如果監聽的包含非系統廣播，請根據是否公開給其他 App 的需要使用來添加 flag 的聲明。

• RECEIVER_EXPORTED
• RECEIVER_NOT_EXPORTED

context.registerReceiver(sharedBroadcastReceiver, intentFilter,
    RECEIVER_EXPORTED)
context.registerReceiver(privateBroadcastReceiver, intentFilter,
    RECEIVER_NOT_EXPORTED)

結語

無論是針對 Intent Fitler 匹配的要求升級還是動態註冊的 Receiver Flag，都是為瞭增強組件安全。希望開發者在對待這些習以為常的三大組件時，多些思考、避免漏洞百出。

到此這篇關於Android13 加強Intent filters 的安全性的文章就介紹到這瞭,更多相關Android Intent filters 內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet！

推薦閱讀：

• 詳解Android的四大應用程序組件
• Android中Intent組件的入門學習心得
• Android廣播實現App開機自啟動
• Android進程間使用Intent進行通信
• BroadcastReceiver靜態註冊案例詳解