Android安全检测 - Intent隐式意图调用

最新推荐文章于 2024-05-03 17:46:04 发布
最新推荐文章于 2024-05-03 17:46:04 发布
阅读量2.7k 收藏 3
点赞数 1
分类专栏: Android安全检测 文章标签: android 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35993502/article/details/120678162
版权

这一章我们来学习“Intent隐式意图调用”,了解这个漏洞发生的原因及其应对的方法。

一、漏洞原理

Intent通常用于Activity、Service、Broadcast Receiver等组件之间进行信息传递,包括发送端和接收端。当使用隐式的Intent调用时,并未对intent消息接收端进行限制,因此可能存在该消息被未知的第三方应用劫持的风险。Intent消息被劫持,可能导致用户的敏感数据泄露,或者恶意程序执行等风险。

主要的风险:
1、通过拦截Intent伪造钓鱼页面(支付、登录等钓鱼页面)
2、通过拦截Intent获取敏感数据
3、通过拦截Intent执行其它恶意操作

二、检测手段

主要采取静态代码扫描加人工复核的方式(纯代码扫描会存在误报)。
检测方法:
step1:在代码内全局搜索在使用Intent启动/唤醒四大组件的地方,判断是否有显示的指定接收方(Intent.setPackage、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context,receiver.class)中任一种方法明确指定目标接收方
step2:排除掉启动系统的组件并汇总结果

三、修复方法

1、使用Intent.setPackageIntent.setComponentIntent.setClassNameIntent.setClassnew Intent(context,receiver.class)中任一种方法明确指定目标接收方,显式调用intent。
2、若不明确指定接收方,则发送Intent应避免携带敏感数据,并发送Intent的行为应不涉及到重要的敏感操作(支付、登录等敏感操作)

asjhan for Android reverse

asjhan
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 隐式意图的使用
qq_54038326的博客
10-23 1075
隐式意图
Android静态安全检测 -> Intent隐式调用
4lwin博客
07-18 5967
Intent隐式调用 - android.content.Intent 1. API 继承关系 java.lang.Object android.content.Intent 主要方法 构造方法 Intent() Intent(String action) Intent(Context c
Android Intent
最新发布
liuning1985622的博客
05-03 757
IntentAndroid中用于在不同组件之间传递消息和执行操作的对象。它可以用于启动Activity、启动Service、发送广播以及执行其他操作。Intent可以被显式地指定要启动的组件,也可以被隐式地指定要执行的操作。显式Intent是指明确指定要启动的组件的Intent。通过显式Intent,我们可以启动特定的Activity或Service。隐式Intent是指没有明确指定要启动的组件,而是通过指定操作和可选的数据来启动适合该操作的组件。
Intent隐式意图匹配规则及安全检验
Adversity reveals genius; fortune conceals it.
03-12 514
Intent隐式意图匹配,一般分为三个action、category、data 为了方便阅读和记忆以及应用,我这里分为过滤规则方、以及匹配方; 更加容易理解,我们把这两个进一步理解为发起方和接收方。发起方,即为Intent隐式意图书写方,接收方,则代表的是需要匹配到的Activity。(这里以Activity为例) 对于action,只需要发起方匹配到接收方的其中一个即可,可以多, 但不可用...
Intent】对隐式Intent的运行时检查保护:如相机调用失败
洗过风
10-08 1110
类似打开相机,发送图片等隐式Intent,是并不一定能够在所有的Android设备上都正常运行。例如打开相机的隐式Intent,如果系统相机应用被关闭或者不存在相机应用,又或者是相机应用的某些权限被关闭等等情况都可能导致这个隐式Intent无法正常工作。一旦发生隐式Intent找不到合适的调用组件的情况,系统就会抛出ActivityNotFoundException的异常,如果我们的应用没有对这
Android安全检测Intent Scheme URLs攻击风险
键盘的起始页
06-19 495
通过浏览器(WebView)加载URI的形式使用Intent协议跳转到指定的app页面。一般使用Intent.parseUri(String uri,int flags)方法,来构造Intent。攻击者可构造特殊格式的URL直接向系统发送意图,启动App应用的Activity组件或者发送异常数据,导致应用的敏感信息泄露或者应用崩溃。通过漏洞原理可以了解到漏洞产生的原因,那么现在来了解一下和这个漏洞相关的一些知识。方法,那么必须对获取的intent进行严格过滤,intent至少包含。上述的漏洞描述中可知,
Android学习之Intent中显示意图隐式意图的用法实例分析
09-03
隐式意图常用于启动系统服务或跨应用调用,例如在上面的例子中,我们创建了一个隐式Intent调用系统的短信服务,向10086发送短信。这样做的好处是,只要其他应用注册了相同的Intent过滤器,它们也能响应并处理这个...
android-criminal-intent:android-criminal-intent 的教程应用程序
06-18
显式Intent指定了要调用的确切组件,而隐式Intent则不指定具体组件,而是基于动作(Action)、数据(Data)、类别(Category)等来匹配合适的组件。 **项目结构** 在"android-criminal-intent-master"压缩包中,...
Android学习总结-Intent详解.doc
09-09
Intent的基本概念源于它的英文原意——"目的、意向、意图",它允许开发者向Android系统表达执行某一操作的意愿。 1. **Intent的类型** - **显式Intent**:直接指定要启动的目标组件,如Activity或Service的完整...
Android 隐式Intent的实例详解
08-29
Android 隐式Intent 的实例详解还可以帮助我们更好地理解 Android意图机制和组件间的交互,从而更好地使用 Android 的各种功能来实现我们的需求。 Android 隐式Intent 的实例详解还可以帮助我们更好地理解 ...
Android应用开发-系统Activity的调用.pptx
12-09
它包含Action、Data、Category等信息,Android系统会根据这些信息找到最匹配的组件来响应隐式Intent。 总之,IntentAndroid应用开发中的核心元素,它连接了应用的不同部分,使得数据能够在组件间流动,同时也支持...
Android Studio——优先级(setComponent()、setPackage()).zip
04-05
参考博客:https://blog.csdn.net/Da_Xiong000/article/details/105326901
深入学习Android中的Intent
01-20
Intent提供了一种通用的消息系统,它允许在你的应用程序见传递Intent来执行动作和产生事件,使用Intent可以激活Android应用的三种类型的核心组件:活动Activity、服务Service、广播接受者Broadcast。 Intent又分为隐士意图和显示意图。 显示意图调用intent.setComponent()、intent.setClassName()或者intent.setClass()方法明确的制定组件名的Intent为显示意图,显示意图明确的制定要激活哪一个组件。 隐士意图:没有明确的制定组件的名称;下边是一个隐士意图的案例 首先应该在清单文件中添加相应的inten
Intent组件的安全机制
a15659164058的博客
12-15 331
1) IntentIntentFilter简介       Intent(意图)本身是一个包含被执行操作抽象描述的被动的数据结构,对于广播而言,是某件已经发生并被声明的事件的描述。在Android系统中,存在如下几种不同的机制来传送Intent到每种组件中。       (1) 一个Intent对象传递给Context.startActivity()或Context.startActivit
android安全-intent
软件质量优化
11-14 2176
原文: http://www.sectop.com/?p=187 一、intent简介android环境中,intent主要用于信息传递,intent如果使用隐式方式(setaction)来标识intent消息,接收方通过此action来接收信息。如果intent没有明确指定哪些接收方有权限接收,则恶意程序指定action标识后,获取intent内容,将导致数据泄露。二、实例intent可以分别用
[Android][Intent]
lgywsdy的博客
02-08 1475
1.Intent的作用 Intent 是一个消息传递对象,您可以使用它从其他应用组件请求操作。简单来说Intent就是用于组件(这里的组件自然是四大组件)之间传递消息。 它的基本用途:启动Activity,启动服务,传递广播。 2.Intent类型 显式 Intent:按名称(完全限定类名)指定要启动的组件。 通常,您会在自己的应用中使用显式 Intent 来启动组件,这是因为您知道要...
androidIntent隐式意图调起(百度,谷歌,高德地图)
yy_nn的博客
05-03 1562
1.权限 <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/><uses-permission android:name="android.permission.INTERNET"/><uses-permission android:name="com.android.launcher.pe
android intent 导航,Android 通过Intent调取导航
weixin_39524439的博客
05-27 252
if (isAvilible(context, "com.autonavi.minimap")) {try{intent = Intent.getIntent("androidamap://navi?sourceApplication=慧医&poiname=我的目的地&lat="+location[0]+"&lon="+location[1]+"&dev=0");c...
理解Android Intent:显式与隐式意图解析
Intent有两种主要类型:显式意图隐式意图。 显式意图是通过调用IntentsetComponent()或setClass()方法明确指定目标组件的Intent。这种方式确保Intent会直接传递给指定的组件,减少了灵活性但提高了精确性。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值