Android開發中網路安全性配置問題

post200發表於2021-09-09
Android

網路安全性配置特性讓應用可以在一個安全的宣告性配置檔案中自定義其網路安全設定,而無需修改應用程式碼。可以針對特定域和特定應用配置這些設定。此特性的主要功能如下所示:

  • 自定義信任錨:針對應用的安全連線自定義哪些證照頒發機構 (CA) 值得信任。例如,信任特定的自簽署證照或限制應用信任的公共 CA 集。

  • 僅除錯重寫:在應用中以安全方式除錯安全連線,而不會增加已安裝使用者的風險。

  • 明文通訊選擇退出:防止應用意外使用明文通訊。

  • 證照固定:將應用的安全連線限制為特定的證照。


新增安全配置檔案


網路安全性配置特性使用一個 XML 檔案,您可以在該檔案中指定應用的設定。您必須在應用的清單中包含一個條目以指向該檔案。以下程式碼摘自一份清單,演示瞭如何建立此條目:

            ...    

自定義可信 CA


應用可能需要信任自定義的 CA 集,而不是平臺預設值。出現此情況的最常見原因包括:

  • 連線到具有自定義證照頒發機構的主機,如自簽署或在公司內部簽發的 CA。

  • 將 CA 集僅限於您信任的 CA,而不是每個預裝 CA。

  • 信任系統中未包含的附加 CA。

預設情況下,來自所有應用的安全連線(使用 TLS 和 HTTPS 之類的協議)均信任預裝的系統 CA,而面向 Android 6.0(API 級別 23)及更低版本的應用預設情況下還會信任使用者新增的 CA 儲存。應用可以使用 base-config(應用範圍的自定義)或 domain-config(按域自定義)自定義自己的連線。

配置自定義 CA

假設您要連線到使用自簽署 SSL 證照的主機,或者連線到其 SSL 證照是由您信任的非公共 CA(如公司的內部 CA)簽發的主機。

res/xml/network_security_config.xml:

            example.com                                

以 PEM 或 DER 格式將自簽署或非公共 CA 證照新增到 res/raw/my_ca。

限制可信 CA 集

如果應用不想信任系統信任的所有 CA,則可以自行指定,縮減要信任的 CA 集。這樣可以防止應用信任任何其他 CA 簽發的欺詐性證照。

限制可信 CA 集的配置與針對特定域信任自定義 CA 相似,不同的是,前者要在資源中提供多個 CA。

res/xml/network_security_config.xml:

            secure.example.com        cdn.example.com                                

以 PEM 或 DER 格式將可信 CA 新增到 res/raw/trusted_roots。請注意,如果使用 PEM 格式,檔案必須僅包含 PEM 資料,且沒有額外的文字。您還可以提供多個  元素,而不是隻提供一個元素。

信任附加 CA

應用可能需要信任系統不信任的附加 CA,出現此情況的原因可能是系統還未包含此 CA,或 CA 不符合新增到 Android 系統中的要求。應用可以透過為一個配置指定多個證照源來實現此目的。

res/xml/network_security_config.xml:

                                                

配置用於除錯的 CA


除錯透過 HTTPS 連線的應用時,您可能需要連線到沒有為生產伺服器提供 SSL 證照的本地開發伺服器。為了支援此操作,而又不對應用的程式碼進行任何修改,您可以透過使用 debug-overrides 指定僅在 android:debuggable 為 true 時才可信的僅除錯 CA。通常,IDE 和構建工具會自動為非釋出版本設定此標記。

這比一般的條件程式碼更安全,因為出於安全考慮,應用儲存不接受被標記為可除錯的應用。

res/xml/network_security_config.xml:

                                    

選擇退出明文通訊


旨在連線到僅使用安全連線的目的地的應用可以選擇不再對這些目的地提供明文(使用解密的 HTTP 協議而非 HTTPS)支援。此選項有助於防止應用因外部源(如後端伺服器)提供的網址發生變化而意外迴歸。請參閱 NetworkSecurityPolicy.isCleartextTrafficPermitted(),瞭解更多詳情。

例如,應用可能需要確保與 secure.example.com 的所有連線始終透過 HTTPS 完成,以防止來自惡意網路的敏感流量。

res/xml/network_security_config.xml:

            secure.example.com    

固定證照


一般情況下,應用信任所有預裝 CA。如果有預裝 CA 簽發欺詐性證照,則應用將面臨被中間人攻擊的風險。有些應用透過限制信任的 CA 集或透過證照固定來選擇限制其接受的證照集。

透過按公鑰的雜湊值(X.509 證照的 SubjectPublicKeyInfo)提供證照集完成證照固定。然後,只有至少包含一個已固定的公鑰時,證照鏈才有效。

請注意,使用證照固定時,您應始終包含一個備份金鑰,這樣,當您被強制切換到新金鑰或更改 CA 時(固定到某個 CA 證照或該 CA 的中間證照時),您應用的連線性不會受到影響。否則,您必須推送應用的更新以恢復連線性。

此外,可以設定固定的到期時間,在該時間之後不執行證照固定。這有助於防止尚未更新的應用出現連線性問題。不過,設定固定的到期時間可能會繞過證照固定。

res/xml/network_security_config.xml:

            example.com                    7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=            <!-- backup pin --&gt            fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=            

配置繼承行為


將繼承未在特定配置中設定的值。此行為允許進行更復雜的配置,同時又能保證配置檔案可讀。

如果未在特定條目中設定值,將使用來自更通用條目中的值。例如,未在 domain-config 中設定的值將從父級 domain-config(如果已巢狀)或者 base-config(如果未巢狀)中獲取。未在 base-config 中設定的值將使用平臺預設值。

例如,到 example.com 的子域的所有連線都必須使用自定義 CA 集。此外,允許使用這些域的明文通訊,連線到 secure.example.com 時除外。透過在 example.com 的配置中巢狀 secure.example.com 的配置,不需要重複 trust-anchors。

res/xml/network_security_config.xml:

            example.com                                                secure.example.com            

配置檔案格式


網路安全性配置特性使用 XML 檔案格式。檔案的整體結構如以下程式碼示例所示:

                                    ...                        android.com        ...                                ...                            ...            ...                ...                                    ...            

以下部分將介紹語法與檔案格式的其他詳細資訊。

  • 可以包含:

  • 0 或 1 個 
    任意數量的 
    0 或 1 個 

  • 語法:

    ...

  • 可以包含:

  • 說明:

  • 目的地不在 domain-config 涵蓋範圍內的所有連線所使用的預設配置。未設定的任何值均使用平臺預設值。面向 Android 7.0(API 級別 24)及更高版本應用的預設配置如下所示:

                    

    面向 Android 6.0(API 級別 23)及更低版本應用的預設配置如下所示:

                            

  • 語法:

  •     ...

  • 可以包含:

  • 1 個或多個 
    0 或 1 個 
    0 或 1 個 
    任意數量的已巢狀 

  • 說明

  • 用於按照 domain 元素的定義連線到特定目的地的配置。請注意,如果有多個 domain-config 元素涵蓋某個目的地,將使用匹配域規則最具體(最長)的配置。

  • 語法:

  • example.com

  • 屬性:


    • includeSubdomains

    • 如果為 "true",此域規則將與域及所有子域(包括子域的子域)匹配。否則,該規則僅適用於精確匹配項。

  • 說明:

  • 語法:

  •     ...

  • 可以包含:

  • 0 或 1 個 

  • 說明:

  • 在 android:debuggable 為 "true" 時將應用的重寫,IDE 和構建工具生成的非釋出版本通常屬於此情況。在 debug-overrides 中指定的信任錨將新增到所有其他配置,並且當伺服器的證照鏈使用其中一個僅除錯信任錨時,將不執行證照固定。如果 android:debuggable 為 "false",將完全忽略此部分。

  • 語法:

  • ...

  • 可以包含:

  • 任意數量的 

  • 說明:

  • 用於安全連線的信任錨集。

  • 語法:

  • 說明:

  • 用於 trust-anchors 元素的 X.509 證照集。

  • 屬性:


    • 指向包含 X.509 證照的檔案的原始資源 ID。證照必須以 DER 或 PEM 格式編碼。如果為 PEM 證照,則檔案不得包含額外的非 PEM 資料,例如註釋。

    • 用於預裝系統 CA 證照的 "system"

    • 用於使用者新增的 CA 證照的 "user"

    • src

    • CA 證照的來源。每個證照可為下列狀態之一:

    • overridePins

    • 指定此來源的 CA 是否繞過證照固定。如果為 "true",則不對此來源的 CA 簽署的證照鏈執行證照固定。這對於除錯 CA 或測試對應用的安全流量進行中間人攻擊 (MiTM) 非常有用。預設值為 "false",除非在 debug-overrides 元素中另外指定(在這種情況下,預設值為 "true")。

  • 語法:

  • ...

  • 可以包含:

  • 任意數量的 

  • 說明:

  • 一組公鑰固定。對於要信任的安全連線,信任鏈中必須有一個公鑰位於固定集中。有關固定格式,請參閱 

  • 屬性:


    • expiration

    • 採用 yyyy-MM-dd 格式的日期,固定在該日期過期,因而將停用固定。如果未設定該屬性,則固定不會過期。設定到期時間有助於防止未更新到其固定集(例如,在使用者停用應用更新時)的應用出現連線問題。

  • 語法:

  • base64 encoded digest of X.509    SubjectPublicKeyInfo (SPKI)

  • 屬性:


    • digest

    • 用於生成固定的摘要演算法。目前僅支援 "SHA-256"

原文連結:http://www.apkbus.com/blog-914653-68456.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/2249/viewspace-2814046/,如需轉載,請註明出處,否則將追究法律責任。

相關文章