Android Shared Storage保護問題

Question

我已經實施了原生廣告中提供的Google原生廣告

它在除Android 4.x版本之外的所有設備中都運行良好。 控制台中的崩潰日志是

Non-fatal Exception: java.lang.IllegalArgumentException: Optimized data directory /storage/emulated/0/Android/data/com.myapp/cache is not owned by the current user. Shared storage cannot protect your application from code injection attacks.
       at dalvik.system.DexFile.(DexFile.java:100)
       at dalvik.system.DexFile.loadDex + 149(DexFile.java:149)
       at dalvik.system.DexPathList.loadDexFile + 251(DexPathList.java:251)
       at dalvik.system.DexPathList.makeDexElements + 219(DexPathList.java:219)
       at dalvik.system.DexPathList.(DexPathList.java:96)
       at dalvik.system.BaseDexClassLoader.(BaseDexClassLoader.java:56)
       at dalvik.system.DexClassLoader.(DexClassLoader.java:57)
       at ir.b + 31(ir.java:31)
       at ir.a + 5(ir.java:5)
       at iu.a + 1(iu.java:1)
       at com.google.android.gms.ads.internal.ag.run + 5(ag.java:5)
       at java.util.concurrent.ThreadPoolExecutor.runWorker + 1080(ThreadPoolExecutor.java:1080)
       at java.util.concurrent.ThreadPoolExecutor$Worker.run + 573(ThreadPoolExecutor.java:573)
       at java.lang.Thread.run + 856(Thread.java:856)

從上面崩潰它顯示為優化數據目錄 /storage/emulated/0/Android/data/com.myapp/cache不歸當前用戶所有。 共享存儲無法保護您的應用程序免受代碼注入攻擊

我有搜索相關問題Android DexClassLoader錯誤，'優化數據目錄..不屬於當前用戶'，但這太舊了，與Admob無關。 如果我刪除與Native Ad相關的代碼，那么它正在運行，否則它會崩潰，只需記錄上面的崩潰。

請注意我的應用程序在2019年8月13日之前使用相同的nativeAd代碼正常工作。之后它無法使用NativeAd代碼。

請幫忙。

Answer 1

似乎通過移動廣告內容在您的應用程序中發生了一些注入攻擊

注意攻擊發生在Android應用程序之后

1）沒有或可旁路的驗證檢查

2）文件覆蓋漏洞，和

3）代碼觸發點

第一個條件包括何時

（1）應用程序不對下載的DRU資源執行完整性或真實性檢查

（2）攻擊者能夠繞過此類驗證檢查。 第二個條件表示注入的有效負載可以覆蓋可執行文件的情況。

（3）當存在代碼觸發點時，滿足第三個條件，其中覆蓋的文件在應用程序的上下文中加載和執行。 滿足這三個條件時，遠程代碼注入攻擊是成功的。

攻擊者注入的有效負載根據應用程序的DRU實現存儲在指定位置，通常位於應用程序的數據目錄（/ data / data / PACKAGE_NAME）或外部存儲（例如SD卡）中。

如果攻擊者所針對的DRU是應用程序代碼更新，則注入的代碼將替換為現有代碼資源（例如，。index，.jar或.so），然后在應用程序觸發更新邏輯時加載並執行。

這是因為服務器端不在客戶端。 移動廣告包含一些文件覆蓋漏洞，以便應用崩潰。

解：

驗證服務器端的廣告內容。是否滿足谷歌的條款和條件。

有關更多詳細信息，請參閱Android應用程序中遠程代碼注入攻擊的大規模分析