(Fortify) 类别:Android 不良做法:缺少 Google Play 服务更新的安全提供程序(1 个问题)
Posted
技术标签:
【中文标题】(Fortify) 类别:Android 不良做法:缺少 Google Play 服务更新的安全提供程序(1 个问题)【英文标题】:(Fortify) Category: Android Bad Practices: Missing Google Play Services Updated Security Provider (1 Issues) 【发布时间】:2019-03-03 23:59:00 【问题描述】:我们正在使用 Fortify 扫描我的 android 源代码,但我无法摆脱这个问题:
类别:Android 不良做法:缺少 Google Play 服务更新的安全提供程序(1 个问题)
Fortify 指向这行代码:
tools:replace="android:allowBackup">
AndroidManifest.xml:37 null()
<application
android:name=".test"
android:allowBackup="false"
android:hardwareAccelerated="true"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:networkSecurityConfig="@xml/network_security_config"
android:supportsRtl="true"
android:theme="@style/AppTheme"
tools:replace="android:allowBackup"> <!--FORTIFY POINTS TO THIS LINE-->
强化推荐:
修补安全提供程序的最简单方法是调用 同步方法 installIfNeeded()。这是合适的,如果用户 等待时线程阻塞不会影响体验 要完成的操作,否则应该在 异步方式。
更多关于这个issue
我关注了安卓的 Update your security provider to protect against SSL exploits
并尝试了两种方法:
installIfNeed() 和 installIfNeededAsync()
但问题仍然存在。我测试了我的代码,它运行良好。
这是我的清单:
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
xmlns:tools="http://schemas.android.com/tools"
package="test">
<uses-permission android:name="android.permission.INTERNET" />
<application
android:name=".test"
android:allowBackup="false"
android:hardwareAccelerated="true"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:networkSecurityConfig="@xml/network_security_config"
android:supportsRtl="true"
android:theme="@style/AppTheme"
tools:replace="android:allowBackup">
<meta-data
android:name="com.google.android.gms.version"
android:value="@integer/google_play_services_version" />
<provider
android:name=".syncadapter.StubProvider"
android:authorities="com.neseapl.nyp.provider"
android:exported="false"
android:syncable="true"/>
<service
android:name=".syncadapter.SyncService"
android:exported="false">
<intent-filter>
<action android:name="android.content.SyncAdapter" />
</intent-filter>
<meta-data
android:name="android.content.SyncAdapter"
android:resource="@xml/syncadapter" />
</service>
<service
android:name=".syncadapter.AuthenticatorService">
<intent-filter>
<action android:name="android.accounts.AccountAuthenticator"/>
</intent-filter>
<meta-data
android:name="android.accounts.AccountAuthenticator"
android:resource="@xml/account_authenticator" />
</service>
<activity
android:name=".activities.Test"
android:configChanges="orientation|screenSize">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
</application>
</manifest>
我的清单中缺少什么?谢谢!
【问题讨论】:
我有同样的问题,但我开始认为这是因为方法 installIfNeeded() 和 installIfNeeded Async() 在名为 :sync 的第二个进程上运行,而 Fortify 无法分析它们. Logs for sync process 天使嘉年华。能否请您发送有关您的服务和适配器的更多详细信息 【参考方案1】:我最近在 Fortify 上遇到了类似的问题。正如 Silvia Ragui 指出的,Fortify 没有正确分析这个运行时进程。虽然 installIfNeeded() 和 installIfNeededAsync() 会在您的 APK 的实际部署中更新安全提供程序,但是当您重新提交到 Fortify 时,它似乎并没有清除错误。
然而,根本问题是过时的安全提供程序,这通常是由于您的软件包中的播放服务库过时所致。
这是直接来自 fortify 仪表板的建议:
Android 依靠安全提供程序来提供安全的网络通信。默认设备加密库通常是包含已知缺陷的旧版 OpenSSL。为了克服这个问题,Google 为应用程序提供了一种机制,可以通过 Google Play Services ProviderInstaller 客户端“修补”其本地 OpenSSL 副本。已确定该应用未使用更新的提供程序,从而使该应用暴露于较早的已知 OpenSSL 漏洞和弱点。>
实际问题和Silvia的日志最后一行是一样的:
W/GooglePlayServicesUtil Google Play 服务已过期
在我们的例子中,我们更新到了最新版本的 Play Services,并在上面实现了the fix(当我们这样做时,我们发现有一个小错误需要修复,并且可能阻止了更新修补安全提供程序)
新版本成功解决了这个问题。我建议您将您更新到最新的 Play 服务,因为这也会更新安全提供程序。
【讨论】:
检查我们的 Cordova 应用程序的依赖项不会显示正在使用的“Google Play 服务”库。 Fortify 会不会因为他们的模拟器测试有一个旧的 Play 服务库而只是给出一个误报? @J-Boss,你有示例代码或项目可以分享吗?如果 silvia 说的是正确的,我可以简单地将 ProviderInstaller.installIfNeeded 放在主线程中,它应该清除强化检查,不是吗?以上是关于(Fortify) 类别:Android 不良做法:缺少 Google Play 服务更新的安全提供程序(1 个问题)的主要内容,如果未能解决你的问题,请参考以下文章