我們對其中一個應用程序進行了安全審覈,並獲得了一個奇怪的項目。它表示某些文件的文件權限設置了全局讀取權限。具體來說:Android滲透測試 - 文件權限?
# find . -perm -0004
./lib
./lib/libcrypto.so
從理論上講,我明白這一點,因爲Android是Linux,因此它具有文件許可權。我不知道的是,如何爲APK文件的內容設置文件權限,以便該文件只能由用戶讀取? Linux的相當於是:
chmod 500 ./lib/libcrypto.so
但我認爲我需要做到這一點的清單,或者可能構建機器,或東西的文件系統上?
請安全審覈員提供您的應用程序表現異常的任何證據。相反,如果所有NDK應用程序的'.so'文件設置爲世界可讀,則可能有這個原因,您不應該擔心。 – CommonsWare
@CommonsWare謝謝。我意識到最有可能的父目錄不可讀,但審計必須滿足以確保合同。具體問題是「設備上的流氓應用程序可能利用此漏洞讀取應用程序存儲的敏感數據。」如果我們不打算改變權限,那麼我們需要爲什麼我們不這樣做。 –
他們是否考慮了selinux環境?這些文件也可能被這些文件隔離。 – Jon