StrandHogg漏洞修复

已于 2022-11-17 15:53:08 修改
阅读量961 收藏 1
点赞数
分类专栏: Android 文章标签: android android-studio java
于 2022-11-17 15:52:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_717693247_guo6/article/details/127905364
版权
  • StrandHogg漏洞介绍

  • 修改方案
    • 在AndroidManifest.xml文件中的<application>标签中添加
android:taskAffinity="" 
android:allowTaskReparenting="true"
    • 在启动页的Activity中配置android:launchMode="singleTask",启动页指的是配置了下面<intent-filter>的Activity
<intent-filter>
    <action android:name="android.intent.action.MAIN" />
    <category android:name="android.intent.category.LAUNCHER" />
</intent-filter>

除了启动页的Activity之外,其它的所有Activity都不要配置launchMode="singleTask|singleInstance",否则会出现下面3个问题

  1. 这些配置了launchMode="singleTask|singleInstance"的Activity会出现在最近运行的任务列表中(即最近运行的任务列表中出现了同一个App的多个页面),如果确实需要设置launchMode="singleTask|singleInstance"可以动态的给Intent设置Flag来达到相同的效果。如需要singleTask模式可能过给Inetnt添加FLAG_ACTIVITY_CLEAR_TOP 和 FLAG_ACTIVITY_SINGLE_TOP 这两个Flag。
  2. App首次启动后按Home键退出,再次点击桌面的Launcher时会闪一下,根本无法进入主页
  3. 桌面点击小组件将会是一个新的taskId,即小组件的启动的目标Activity也会出现在最近任务列表中
  • 整体流程

以上就是我对StrandHogg漏洞的修复方案。最后感谢您的阅读,希望能对您有所帮助。如有疑问可加QQ:717693247。如果你有更优的方案希望也能分享一下。谢谢~

EM265
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android 安全检测漏洞修复
dengjiecsdn的博客
05-18 921
Android App上线前送检,安全检测漏洞修复 低风险 1. BroadcastReceiver组件暴露 导出的广播可以导致数据泄漏或者是越权。 如果组件不需要与其他app共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互, 请对组件进行权限控制和参数校验。 中风险 1.android:debuggable 属性的设置可能会引起 被动态调试的风险。 ......
安卓安全问题手册
白云天的博客
11-12 518
问题:RSA加密算法不安全使用带来的安全风险 RSA加密算法是一种非对称加密算法。当其密钥长度过短,通常认为长度小于512位时,就会存在较高的被破解风险;没有使用正确的工作模式和填充方式,将会存在重放攻击的风险。因RSA加密算法不安全使用造成的加密方法失效,可能造成客户端隐私数据泄露、加密文件破解、传输数据被获取、中间人攻击等后果,导致用户敏感信息被窃取。 解决方案 使用RSA算法进行数字签...
StrandHogg漏洞修复: taskAffinity学习
silencefly的博客
03-31 2553
最近手头的APP报了个高危漏洞——StrandHogg,花了点时间处理了下,踩了些坑,这里记录下,并再学习下taskAffinity这个属性。
【错误记录】Android 应用安全检测漏洞修复 ( StrandHogg 漏洞 | 设置 Activity 组件 android:taskAffinity=““ )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
06-10 3161
一、报错信息、 二、修改方案
Android StrandHogg漏洞复现
Chary的Blog
01-13 3104
一、 漏洞概述 近期,挪威一家安全公司(Promon)披露了一个Android任务栈劫持漏洞。该漏洞影响所有的安卓版本,包括最新的安卓10,研究人员同时发现有36个恶意app正在利用该漏洞,同时top 500的app都处于危险中。虽然Google已经从Google Play中删除了这些恶意app,但是该漏洞目前还没有被修复StrandHogg漏洞利用安卓多任务系统中的弱点来使恶意app可以伪装成...
一起等补丁:操作系统漏洞StrandHogg 2.0几乎影响所有安卓设备
smellycat000的专栏
05-27 1474
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队还记得Strandhogg 漏洞吗?恶意应用可利用这个安卓漏洞伪装成目标设备上的任意其它app,向用户显示虚假界面并诱骗...
android 动画 最顶层_【Android编程实战】StrandHogg漏洞复现及原理分析_Android系统上的维京海盗...
weixin_39980184的博客
11-22 272
0x00 StrandHogg漏洞详情StrandHogg漏洞CVE编号:暂无[漏洞危害]近日,Android平台上发现了一个高危漏洞漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用权限 或者进行恶意钓鱼攻击 由于该漏洞允许恶意软件劫持合法应用的活动,并将自身恶意活动插入在合法活动之前 使得用户并没有意识到自己已经遭到攻击[漏洞影响Android版本]至2020年1月26...
谷歌不修用户泪流:已遭利用且影响所有安卓版本的严重 0day 漏洞 StrandHogg 详情遭曝光...
smellycat000的专栏
12-04 555
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Promon 公司的安全研究员最近发现了一个影响所有安卓版本(包括最新的 Android 10)的危险 0day,并将其命名...
StrandHogg
qq_35703330的博客
06-02 1748
Android启动模式与taskAffinity 属性 StrandHogg漏洞 StrandHogg 是一个存在于 Android 多任务系统中的应用漏洞,此漏洞利用 App 清单文件 AndroidManifest.xml 中一个名为 android:taskAffinity 的属性设置。 taskAffinity 属性 taskAffinity,可以翻译为任务相关性。这个参数标识了一个 Activity 所需要的任务栈的名字,默认情况下,所有 Activity 所需的任务栈的名字为应用的包名,当 Ac
taskAffinity属性
ricco_chan的专栏
08-11 203
taskAffinity属性 http://blog.csdn.net/lygglobetech/article/details/6600692
TaskAffinity
asking1233的专栏
01-12 945
进一步了解android中的taskAffinity
安全漏洞修复方法
yx1151903456的博客
05-15 1597
1.SQL注入问题(从userFunc取出来的corps和deps可以直接拼接,不存在sql注入) 2.XSS漏洞(跨站点脚本编制、通过框架钓鱼、连接注入) 注:并非所有参数都需要encodeForHTML编码,需要的有:页面跳转方法中的String类型参数;查询数据方法中的String类型且可能为中文的参数;保存方法中的String类型且数据库类型不是char类型的参数 3.Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Secu
android安全测评修复小记(备用)
baidu_36583608的博客
09-28 1798
以下权限非需要不声明使用CAMERA:访问相机READ_EXTERNAL_STORAGE:读取SD卡上的内容WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容RECORD_AUDIO:录音READ_CONTACTS:读取联系人数据。
Android 漏洞修复
Android格调小窝
08-01 1474
由于系统没有限制已注册JAVA类的方法调用,因此未注册的其它任何JAVA类也可以被反射机制调用,这样可能导致被篡改的URL中存在的恶意代码被执行,用户手机被安装木马程序,发送扣费短信,通信录或者短信被窃取,甚至手机被远程控制。在金融类或者通讯类app中可能会导致重要信息被窃取。webviewClient中有onReceivedError方法,当出现证书校验错误时,我们可以在该方法中使用handler.proceed()来忽略证书校验继续加载网页,或者使用默认的handler.cancel()来终端加载。..
47、PHP实现机器人的运动范围
weixin_44010641的博客
07-24 836
地上有一个m行和n列的方格。一个机器人从坐标0,0的格子开始移动,每一次只能向左,右,上,下四个方向移动一格,但是不能进入行坐标和列坐标的数位之和大于k的格子。但是,它不能进入方格(35,38),因为3+5+3+8 = 19。请问该机器人能够达到多少个格子?当k为18时,机器人能够进入方格(35,37),因为3+5+3+7 = 18。
Android】广播机制
2301_79977698的博客
07-24 799
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
Android笔试面试题AI答之Android系统与综合类(1)
最新发布
学无止境,止于至善
07-25 891
答案仅供参考,来着文心一言、Kimi.ai。
Android系统可能面临哪些漏洞威胁?请对相关漏洞原理进行具体分析
04-04
例如,近期发现的“StrandHogg漏洞,就是一种利用Android操作系统漏洞的攻击方式,攻击者可以模拟欺骗用户界面,从而欺骗用户输入敏感信息。 2. 应用程序漏洞 应用程序漏洞Android系统面临的另一种漏洞威胁。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值