MobSF静态分析工具中SharedPreference权限检测的正则表达式缺陷分析

在Android应用安全领域，Mobile Security Framework (MobSF)作为一款广泛使用的自动化安全测试工具，其静态分析功能对于检测应用潜在问题至关重要。近期发现该工具在检测SharedPreference权限配置时存在一个值得注意的正则表达式匹配问题，可能导致误报安全问题。

问题背景

Android平台中，SharedPreference作为轻量级数据存储方案，其访问权限模式直接影响数据安全性。开发者通常使用以下三种模式：

• MODE_PRIVATE（值为0）：仅创建应用可访问
• MODE_WORLD_READABLE（值为1）：全局可读
• MODE_WORLD_WRITEABLE（值为2）：全局可写

后两种模式因存在安全风险，在Android N(7.0)及以上版本已被废弃，使用时会抛出SecurityException。

MobSF检测机制问题

MobSF v4.0.3版本中，检测规则配置文件使用以下正则表达式模式匹配不安全的SharedPreference使用： \.getSharedPreferences\(.{0,50}2\)

这个表达式存在两个关键问题：

1. 匹配范围过宽：.{0,50}会匹配包括参数名在内的任意字符
2. 数字匹配不精确：单纯匹配"2"可能误匹配变量名（如str2）而非权限模式值

实际案例分析

在检测华为AGConnect库的代码段时：

context2.getSharedPreferences(str, 0).edit().remove(str2).commit()

工具错误地将变量名"str2"中的"2"识别为权限模式值，导致误报"World Writable"问题。实际上该处使用的是安全的MODE_PRIVATE(0)模式。

解决方案建议

优化后的正则表达式应考虑：

1. 精确匹配权限模式参数位置
2. 排除变量名干扰
3. 同时覆盖两种不安全模式

建议修改为： \.getSharedPreferences\([^,]*,\s*[12]\)

这个改进方案：

• 使用[^,]*精确匹配第一个参数
• 通过,\s*明确匹配模式参数位置
• [12]同时匹配两种不安全模式
• 避免匹配变量名中的数字

对开发者的启示

1. 静态分析工具的结果需要人工验证，特别是安全警告
2. 使用SharedPreference时应显式使用MODE_PRIVATE
3. 对于第三方库，应检查其数据存储实现方式
4. 正则表达式规则需要充分考虑边界情况和误匹配可能

该问题的发现体现了安全工具也需要持续改进的重要性，开发者在使用自动化工具时应当保持审慎的态度，理解工具的工作原理和潜在局限。