Android Shared Storage保护问题

Question

我已经实施了原生广告中提供的Google原生广告

它在除Android 4.x版本之外的所有设备中都运行良好。 控制台中的崩溃日志是

Non-fatal Exception: java.lang.IllegalArgumentException: Optimized data directory /storage/emulated/0/Android/data/com.myapp/cache is not owned by the current user. Shared storage cannot protect your application from code injection attacks.
       at dalvik.system.DexFile.(DexFile.java:100)
       at dalvik.system.DexFile.loadDex + 149(DexFile.java:149)
       at dalvik.system.DexPathList.loadDexFile + 251(DexPathList.java:251)
       at dalvik.system.DexPathList.makeDexElements + 219(DexPathList.java:219)
       at dalvik.system.DexPathList.(DexPathList.java:96)
       at dalvik.system.BaseDexClassLoader.(BaseDexClassLoader.java:56)
       at dalvik.system.DexClassLoader.(DexClassLoader.java:57)
       at ir.b + 31(ir.java:31)
       at ir.a + 5(ir.java:5)
       at iu.a + 1(iu.java:1)
       at com.google.android.gms.ads.internal.ag.run + 5(ag.java:5)
       at java.util.concurrent.ThreadPoolExecutor.runWorker + 1080(ThreadPoolExecutor.java:1080)
       at java.util.concurrent.ThreadPoolExecutor$Worker.run + 573(ThreadPoolExecutor.java:573)
       at java.lang.Thread.run + 856(Thread.java:856)

从上面崩溃它显示为优化数据目录 /storage/emulated/0/Android/data/com.myapp/cache不归当前用户所有。 共享存储无法保护您的应用程序免受代码注入攻击

我有搜索相关问题Android DexClassLoader错误，'优化数据目录..不属于当前用户'，但这太旧了，与Admob无关。 如果我删除与Native Ad相关的代码，那么它正在运行，否则它会崩溃，只需记录上面的崩溃。

请注意我的应用程序在2019年8月13日之前使用相同的nativeAd代码正常工作。之后它无法使用NativeAd代码。

请帮忙。

Answer 1

似乎通过移动广告内容在您的应用程序中发生了一些注入攻击

注意攻击发生在Android应用程序之后

1）没有或可旁路的验证检查

2）文件覆盖漏洞，和

3）代码触发点

第一个条件包括何时

（1）应用程序不对下载的DRU资源执行完整性或真实性检查

（2）攻击者能够绕过此类验证检查。 第二个条件表示注入的有效负载可以覆盖可执行文件的情况。

（3）当存在代码触发点时，满足第三个条件，其中覆盖的文件在应用程序的上下文中加载和执行。 满足这三个条件时，远程代码注入攻击是成功的。

攻击者注入的有效负载根据应用程序的DRU实现存储在指定位置，通常位于应用程序的数据目录（/ data / data / PACKAGE_NAME）或外部存储（例如SD卡）中。

如果攻击者所针对的DRU是应用程序代码更新，则注入的代码将替换为现有代码资源（例如，。index，.jar或.so），然后在应用程序触发更新逻辑时加载并执行。

这是因为服务器端不在客户端。 移动广告包含一些文件覆盖漏洞，以便应用崩溃。

解：

验证服务器端的广告内容。是否满足谷歌的条款和条件。

有关更多详细信息，请参阅Android应用程序中远程代码注入攻击的大规模分析