Android Intent Scheme URLs攻击

最新推荐文章于 2022-10-23 22:32:11 发布
VIP文章 最新推荐文章于 2022-10-23 22:32:11 发布
阅读量2.7w 收藏 20
点赞数 5
分类专栏: 漏洞分析 文章标签: Android Intent Scheme URLs Intent Based browser 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l173864930/article/details/36951805
版权

0x0 引言

 我们知道,在Android上的Intent-based攻击很普遍,这种攻击轻则导致应用程序崩溃,重则可能演变提权漏洞。当然,通过静态特征匹配,Intent-Based的恶意样本还是很容易被识别出来的。

然而最近出现了一种基于Android Browser的攻击手段——Intent Scheme URLs攻击。这种攻击方式利用了浏览器保护措施的不足,通过浏览器作为桥梁间接实现Intend-Based攻击。相比于普通Intend-Based攻击,这种方式极具隐蔽性,而且由于恶意代码隐藏WebPage中,传统的特征匹配完全不起作用。除此之外,这种攻击还能直接访问跟浏览器自身的组件(无论是公开还是私有)和私有文件,比如cookie文件,进而导致用户机密信息的泄露。


0x1 Intent scheme URL的用法

看一下Intent Scheme URL的用法。

<script>location.href = “intent:mydata#Intent;action=myaction;type=text/plain;end”</script>

从用法上看,还是很好理解的,这里的代码等价于如下Java代码:

Intent intent = new Intent(“myaction”);
intent.setData(Uri.parse(“mydata”));
intent.setType(“text/plain”);

再看一个例子:

intent://foobar/#Intent;action=myaction;type=text/plain;S.xyz=123;i.abc=678;end

上面的语句,等价于如下Java代码:

最低0.47元/天 解锁文章
Boyliang1987
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android安全之Intent Scheme Url攻击分析
12-08
Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android浏览器都支持intent scheme urlIntent scheme url的引入虽然带来了一定的便捷性,但从另外一方面看,给恶意攻击页面通过intent-based攻击终端上已安装应用提供了便利,尽管浏览器app已经采取了一定的安全策略来减少这一类风险,但显然是不够的。 2014年3月,一篇关于intent scheme url攻击的文章: Whitepaper – Attacking Android browsers via intent scheme URLs 详细介绍了相关的攻击手法,之后国内的漏洞收集平台上开始被这一类型漏洞刷屏。
Android Intent传递数据大小限制详解
01-04
前言 在sendBroadcast,startActivity时,我们会用到IntentIntent可以携带一些数据,比如基本类型数据int、Boolean,或是String,或是序列化对象,Parcelable与Serializable。 Intent传递数据时,如果数据太大,可能会出现异常。比如App闪退,或是Intent发送不成功,logcat报错等等。 这就牵涉到一个问题:Intent 传递数据大小限制。 Intent到底能够携带多少数据呢? 使用Intent传送数据时,可能会出现异常 在Intent中传入一个Parcelable对象;例如传入一个bitmap对象。 代
Android intent之间复杂参数传递方法详解
09-01
主要介绍了Android intent之间复杂参数传递方法,较为详细的分析了Androidintent参数传递的常见方法与使用技巧,需要的朋友可以参考下
Android Intent调用 Uri的方法总结
01-20
Android Intent调用 Uri的方法总结 //调用浏览器 Uri uri = Uri.parse(); Intent it = new Intent(Intent.ACTION_VIEW,uri); startActivity(it); //显示某个坐标在地图上 Uri uri = Uri.parse(geo:38.899533,-77.036476); Intent it = new Intent(Intent.Action_VIEW,uri); startActivity(it); //显示路径 Uri uri = Uri.parse(http://ma
Android开发实践:实战演练隐式Intent的用法
weixin_34378767的博客
03-18 263
本文通过完成一个实战任务,来掌握Android开发中隐式Intent的用法。任务:假设我们已经实现了一个视频播放器(PlayerActivity),我们希望能把它注册到系统中,当用户点击本地视频或者在线视频时,能启动这个视频播放器。(假设该类的全路径为:com.jhuster.videoplayer.PlayerActivity)[注]:本文完整的示例代码请到我的Github下载,地址:Video...
Android安全之Intent Scheme Url***
weixin_34096182的博客
12-12 381
0X01前言Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL***大爆发之前,很多android浏览器都支持intent scheme urlIntent scheme url的引入虽然带来了一定的便捷性,但从另外一方面看,给恶意***页面通过intent-based***终...
android:scheme 常用类型,Intent里跳页的模式中scheme 模式的简单使用
weixin_39766910的博客
05-26 917
Intent里跳页的模式中scheme 模式的简单使用//在一个android工程 里有2个 java文件 MainActivity 和OtherActivity//res/layout里 有2个 界面布局1、在AndroidManifest.xml清单配置 要跳转的页面2、设置要执行动作的名字 -- name="aaaaaaa"3、设置intent -- 类型 -- 这里设置默认4、设置数据的类...
AndroidScheme协议的使用详解唤起Activity或App
BUG~~八嘎~~哈哈
11-15 6171
1. 什么是URL Scheme? 是一种页面内跳转协议;通过定义自己的scheme协议,可以非常方便跳转app中的各个页面。 2.什么时候使用 服务器下发跳转路径,客户端根据服务器下发跳转路径跳转相应的页面 APP根据URL跳转到另外一个APP指定页面。 H5页面点击描点,根据描点具体跳转路径APP端跳转具体的页面 根据通知也可以跳转到指定页面 3.协议格式 例:myscheme://myhost:8888/macthDetail?macthId=222&name=hello
[Android基础]Intent用法的二三事(下)——Data、Type、Extra、Flag的属性详解
tahliaL
09-21 2907
上一篇详细讲解了Intent用于启动三个属性:Component、Action和Category。那么这一篇将会把剩下的4个属性:Date、Type、Extra和Flag详细讲解一遍,用来加深自己对Intent的了解和记忆。 ******************************************* 二、Intent传递数据 我们可以通过Intent的Data、Type、
Androidintent内容解析
qq_38056514的博客
10-23 1842
intent filter声明的category,Intent中可以不全部指定,但是Intent指定的类别,Intent Filter必须全部匹配。Intent的运行模式,与activity的启动模式相辅相成。名字起的有点歧义,其实就是Uri,接受一个Uri对象,通常都是以字符串的形式传入到Uri.parse()方法中解析产生,更精确的指定当前Intent能够响应什么类型的数据。intent中文名字叫做意图,是一个将要执行的动作的抽象的描述,简单来说就是穿的消息,由Intent协助完成各个组件之间的通讯。
Android Intent封装的实例详解
08-29
主要介绍了Android Intent封装的实例详解的相关资料,希望通过本文能帮助到大家,需要的朋友可以参考下
androidintent传递list或者对象的方法
09-03
主要介绍了androidintent传递list或者对象的方法,分析罗列了常用的几种方法,具有一定参考借鉴价值,需要的朋友可以参考下
Android Intent实现页面跳转的两种方法
08-27
主要介绍了Android Intent实现页面跳转的两种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Android开发中Intent用法总结
09-01
主要介绍了Android开发中Intent用法,总结分析了AndroidIntent的功能、使用方法与相关注意事项,需要的朋友可以参考下
深入学习Android中的Intent
01-20
Intent提供了一种通用的消息系统,它允许在你的应用程序见传递Intent来执行动作和产生事件,使用Intent可以激活Android应用的三种类型的核心组件:活动Activity、服务Service、广播接受者Broadcast。 Intent又分为...
android Intent跳转工具类
02-03
Intent跳转工具类 1.用单例模式打开一个Activity并关闭当前页面,可携带数据 2.用Result的方式跳转到指定页面,不携带数据 3.跳转至主页,并附带动画 4.跳转到发送短信界面 5.跳转到拨号界面
android intent 介绍
10-23
android intent 介绍
Android Intent实现页面跳转的方法示例
08-27
本篇文章主要介绍了Android Intent实现页面跳转的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android编程使用Intent传递图片的方法详解
08-31
主要介绍了Android编程使用Intent传递图片的方法,结合实例形式分析了Android基于Intent传输图片的原理与具体实现技巧,需要的朋友可以参考下
intent scheme urls攻击
最新发布
12-20
Intent Scheme URLs攻击是一种针对Android系统的网络攻击手段。Intent Scheme URLs允许应用程序之间通过URL进行通信和数据共享,但是恶意攻击者可以利用这一特性来欺骗用户,让其在点击链接时执行恶意操作。攻击者会利用一些诱人的链接来引诱用户点击,一旦用户点击了这些链接,可能会触发恶意程序的执行,从而导致个人隐私数据泄露或设备被感染。 这种攻击常常通过社交媒体、短信、电子邮件等途径传播,并且往往伪装成一些诱人的内容,例如“点击这个链接可以获得免费优惠券”、“点击这个链接可以查看别人的私人照片”等。一旦用户点击了这些链接,就会被带到包含恶意代码的页面,并且触发恶意程序的执行。 为了防范Intent Scheme URLs攻击,用户可以通过以下方式提高安全意识:不随意点击不明来源的链接,尤其是涉及到个人信息或敏感内容的链接;避免下载来路不明的应用程序或者通过第三方应用商店下载应用;安装并及时更新手机系统的安全补丁;使用安全可靠的杀毒软件进行设备安全检查。 另外,开发者也可以通过强化应用程序的安全性来减少Intent Scheme URLs攻击的风险,例如在应用程序中加入URL验证机制、对用户输入进行严格的过滤和验证等。这样可以在一定程度上提升应用程序的安全性,降低被攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值