你真的了解taskAffinity属性么?

最新推荐文章于 2024-04-18 01:04:38 发布
最新推荐文章于 2024-04-18 01:04:38 发布
阅读量5.5k 收藏 8
点赞数 4
分类专栏: Android成长之路 Android知识点整理 文章标签: 安卓 安全 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011153817/article/details/108189353
版权

在2019年,有安全研究员向Google官方提交了一个利用taskAffinity的漏洞,后面被命名为StandHogg。最近在2020年5月份又公布了StandHogg 2.0漏洞。StandHogg 2.0 隐藏的更深,一般很难发现,甚至都不用设置taskAffinity就可以实现。目前官方已经发布了Android 10.0系统补丁包,有条件的可以对系统进行升级。有兴趣的同学可以看下这篇文章:https://www.xda-developers.com/strandhogg-2-0-android-vulnerability-explained-developer-mitigation/

一、taskAffinity

这个属性在AndroidManifest.xml中进行设置,有2个地方,一个在application标签里面,一个在activity标签里面。当App启动时,对AndroidManifest.xml进行解析后,会放在ApplicationInfo与ActivityInfo类中。对其的定义与描述如下:

$1.1、ApplicationInfo
 /**
     * Default task affinity of all activities in this application. See 
     * {@link ActivityInfo#taskAffinity} for more information.  This comes 
     * from the "taskAffinity" attribute. 
     */
    public String taskAffinity;
$1.2、ActivityInfo

在这里插入图片描述
上面的注释我有以下几点理解:

  1. taskAffinity属性,如果设置在<application>则对所有Activity生效,默认为应用包名;
  2. taskAffinity属性,作用于Activity,针对多任务而言,表示对另外一个任务的亲和度
  3. taskAffinity的值一般用应用包名表示;
  4. 如果手动设置taskAffinity为空,则当前Activity只属于当前task,对其他task无亲和度

二、allowTaskReparenting

官方对此属性的注释如下:

   /**
     * Bit in {@link #flags} that indicates that the activity can be moved
     * between tasks based on its task affinity.  Set from the
     * {@link android.R.attr#allowTaskReparenting} attribute.
     */
    public static final int FLAG_ALLOW_TASK_REPARENTING = 0x0040;

同样,基于注释,我有以下几点理解:

  1. 此属性作用于activity,且基于activity设置的task affinity属性。如果没有设置,则默认为应用包名
  2. 如果allowTaskReparenting为true。且taskAffinity有设值,则表示允许当前activity从“当前包名task"移动至”taskAffinity指定的task"。

三、StandHogg漏洞

此漏洞的原理就是恶意APP利用taskAffinity属性,来实现task任务栈的劫持。
成功劫持的条件如下:

  1. 目标应用<application>中taskAffinity没有手动设置空字符串。
  2. 恶意应用 的钓鱼界面的taskAffinity 设置为目标应用的包名。且allowTaskReparenting = true或者不设置allowTaskReparenting但在启动钓鱼界面的intent中setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);

POC成功后,采用adb shell dumpsys activity查看任务栈信息如下:

第一种情况:设置allowTaskReparenting = true

// 恶意应用设置allowTaskReparenting=true
Display #0 (activities from top to bottom):
  Stack #1:
    Task id #24
      TaskRecord{2d220957 #24 A=ext.sunny.com.taskaffinitydemo U=0 sz=1}
      Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
        Hist #0: ActivityRecord{30a4df6d u0 ext.sunny.com.attackapp/.AttackActivity t24}
          Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
          ProcessRecord{277e412d 4287:ext.sunny.com.attackapp/u0a31}
    Task id #23
      TaskRecord{26a0ac44 #23 A=ext.sunny.com.attackapp U=0 sz=1}
      Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=ext.sunny.com.attackapp/.MainActivity }
        Hist #0: ActivityRecord{36ccc73e u0 ext.sunny.com.attackapp/.MainActivity t23}
          Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=ext.sunny.com.attackapp/.MainActivity bnds=[222,930][434,1290] }
          ProcessRecord{277e412d 4287:ext.sunny.com.attackapp/u0a31}

第二种情况:采用setFlags(Intent.FLAG_ACTIVITY_NEW_TASK)来启动钓鱼界面。启动如下:

   @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        Log.e("sunny","恶意APP:MainActivity $ task:"+getTaskId());
        Intent intent = new Intent(this, AttackActivity.class);
        intent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
        startActivity(intent);
        finish();
    }

dump 信息如下:

 //恶意应用用setFlags(Intent.FLAG_ACTIVITY_NEW_TASK)
    Display #0 (activities from top to bottom):
      Stack #1:
        Task id #24
          TaskRecord{2d220957 #24 A=ext.sunny.com.taskaffinitydemo U=0 sz=1}
          Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
            Hist #0: ActivityRecord{30a4df6d u0 ext.sunny.com.attackapp/.AttackActivity t24}
              Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
              ProcessRecord{277e412d 4287:ext.sunny.com.attackapp/u0a31}
        Task id #23
          TaskRecord{26a0ac44 #23 A=ext.sunny.com.attackapp U=0 sz=1}
          Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=ext.sunny.com.attackapp/.MainActivity }
            Hist #0: ActivityRecord{36ccc73e u0 ext.sunny.com.attackapp/.MainActivity t23}
              Intent { act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=ext.sunny.com.attackapp/.MainActivity bnds=[222,930][434,1290] }
              ProcessRecord{277e412d 4287:ext.sunny.com.attackapp/u0a31}

而对于其他在Activity中设置taskAffinity,然后再设置launchMode=“singleTask” 或者启动的时候采用setFlags(Intent.FLAG_ACTIVITY_NEW_TASK),如果先启动恶意应用,然后Home键退至后台,再打开目标 应用 。则钓鱼界面与目标界面在会同一个task里面,但是目标界面在栈顶。dump信息如下:

Display #0 (activities from top to bottom):
  Stack #1:
    Task id #26
      TaskRecord{44806dd #26 A=com.sunny.standhogg U=0 sz=2}
      Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
        Hist #1: ActivityRecord{13b653a8 u0 ext.sunny.com.taskaffinitydemo/.LoginActivity t26}
          Intent { flg=0x10400000 cmp=ext.sunny.com.taskaffinitydemo/.LoginActivity } //目标界面
          ProcessRecord{3b61d923 4481:ext.sunny.com.taskaffinitydemo/u0a32}
        Hist #0: ActivityRecord{3f62b3a6 u0 ext.sunny.com.attackapp/.AttackActivity t26}
          Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity } // 钓鱼界面
          ProcessRecord{2ce44e20 4443:ext.sunny.com.attackapp/u0a31}

四、对StandHogg的防护措施

从上面可以看出,当在taskAffinity与allowTaskReparenting、taskAffinity与setFlags(Intent.FLAG_ACTIVITY_NEW_TASK)时,可以成功

第一种,在启用Activity的时,添加如下标记:

       intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK | Intent.FLAG_ACTIVITY_CLEAR_TASK);

添加后,dump信息如下:

 Stack #1:
    Task id #42
      TaskRecord{c29e68f #42 A=com.sunny.standhogg U=0 sz=1}
      Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
        Hist #0: ActivityRecord{21ed6e63 u0 ext.sunny.com.taskaffinitydemo/.LoginActivity t42}
          Intent { flg=0x10408000 cmp=ext.sunny.com.taskaffinitydemo/.LoginActivity }
          ProcessRecord{a3bad25 5186:ext.sunny.com.taskaffinitydemo/u0a32}

第二种:针对利用taskAffinity = 目标应用包名,进行整个task劫持

 <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:taskAffinity=""  //手动将taskAffinity置为空
        android:supportsRtl="true"
        android:theme="@style/AppTheme">

dump信息如下:

ACTIVITY MANAGER ACTIVITIES (dumpsys activity activities)
Display #0 (activities from top to bottom):
  Stack #1:
    Task id #51  //目标应用
      TaskRecord{3029c50e #51 I=ext.sunny.com.taskaffinitydemo/.LoginActivity U=0 sz=1}
      Intent { flg=0x10008000 cmp=ext.sunny.com.taskaffinitydemo/.LoginActivity }
        Hist #0: ActivityRecord{f97a149 u0 ext.sunny.com.taskaffinitydemo/.LoginActivity t51}
          Intent { flg=0x10008000 cmp=ext.sunny.com.taskaffinitydemo/.LoginActivity }
          ProcessRecord{1918c2c5 5583:ext.sunny.com.taskaffinitydemo/u0a32}
    Task id #49 //恶意应用
      TaskRecord{464553c #49 A=ext.sunny.com.taskaffinitydemo U=0 sz=1}
      Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
        Hist #0: ActivityRecord{95cb3af u0 ext.sunny.com.attackapp/.AttackActivity t49}
          Intent { flg=0x10000000 cmp=ext.sunny.com.attackapp/.AttackActivity }
          ProcessRecord{2441241a 5540:ext.sunny.com.attackapp/u0a31}
安静的Sunny
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
taskAffinity 属性详解
tectrol的专栏
12-18 915
taskAffinity 属性详解 一、本文目的 本篇文章的目的是为了 搞清楚,哪些情况下开启一个 Activity 会在新的 task 运行,哪些情况下会继续在原来的task 运行。 二、相关基础知识 知识点 1 每个 Activity 运行时都有一个其归属的 task栈,我们可以用 activity.getTaskId() 的方法得到当前 activity 的taskId。如果两个 activity 的 taskId 不同,则他们肯定不会属于同一个 task。 为了方便,我们在 Application
Android TaskAffinity和allowTaskReparenting
zenmela2011的专栏
02-14 1472
1.TaskAffinity affinity是指Activity的归属,Activity与Task的吸附关系,也就是该Activity属于哪个Task。一般情况下在同一个应用中,启动的Activity都在同一个Task中,它们在该Task中度过自己的生命。每个Activity都有taskAffinity属性,这个属性指出了它希望进入的Task。如果一个Activity没有显式的指明taskAffinity,那么它的这个属性就等于Application指明的taskAffinity,如果Applicatio
Activity之taskAffinity属性、allowTaskReparenting属性Android退出整个应用解决方案
热门推荐
weifeng的博客
04-16 1万+
singleInstance: 当ActivityX使用了singleInstance之后: 会重建一个单独的Task栈用来放置ActivityX。 该Task栈只能放置ActivityX,即使其他的Activity使用了和ActivityX同样的taskAffinity也不行。 和singleTask一样,ActivityX不会重复创建taskAffinity: ActivityY使用了taskA
Android Activity】Activity的启动模式
dev晴天的博客
03-28 6254
安卓是采用任务栈来管理activity的,默认情况下多次启动同一个activity系统会重复创建这个activity的实例,并把每个实例依次入栈。为了避免activity实例的重复创建、应付特殊的场景、安卓为activity设计了启动模式。
Activity启动模式与TaskAffinity属性
最新发布
weixin_43700867的博客
04-18 484
TaskAffinity属性、Activity启动模式
Activity启动模式与任务栈(Task)、TaskAffinity应用场景【转】
iblue007的博客
04-03 612
通过上一篇文件的分析,我们对Activity的启动模式有了比较清晰的了解后,本篇我们将继续对Activity启动模式的相关参数和任务栈分析,接下来我们就继续上一篇的问题,如何通过taskAffinity属性在同一个应用中创建多个任务栈进行探究。
理解TaskAffinity
qq601517284的博客
03-15 342
TaskAffinity,可以翻译为任务相关性。这个参数标识了一个Activity所需要的任务栈的名字,默认情况下,所有Activity所需的任务栈的名字为应用的包名。当然,我们可以为每个Activity都单独指定TaskAffinity属性,这个属性值必须不能和包名相同,否则就相当于没有指定。 TaskAffinity属性主要和singleTask启动模式或者allowTaskReparent...
Android中Activity四种启动模式和taskAffinity属性详解-Rong
09-22
# Android中Activity四种启动模式和taskAffinity属性详解 #
Android开发中Activity属性设置小结
09-03
17. **android:taskAffinity**:定义Activity所属的任务家族,默认情况下,同应用内的Activity具有相同的亲和性。 18. **android:theme**:指定Activity使用的主题,可以自定义或继承系统提供的主题。 19. **...
AndroidManifest.xml文件剖析[参考].pdf
10-19
在application分支中,我们需要了解一些常见的属性,这里可以看到一些我们实用的选项,比如允许调试android:debuggable、任务关系android:taskAffinity、创建一个新的任务实用标记FLAG_ACTIVITY_NEW_TASK、为程序...
AndroidManifest.xml文件剖析.pdf
09-27
AndroidManifest.xml文件剖析 AndroidManifest.xml文件是Android应用程序的全局配置文件,它是...只有深入了解AndroidManifest.xml文件,才能更好地理解Android应用程序的工作机制,提高开发效率和应用程序的维护性。
详细解读Android系统中的application标签
09-02
Android系统中,`<application>`标签是AndroidManifest.xml文件中的核心组成部分,它是应用的顶级容器,用于定义应用程序的各种属性和组件。本文将深入解析`<application>`标签的作用、属性以及它如何影响Android...
关于taskaffinity属性的作用
weixin_30501857的博客
02-26 442
意味着这activity更喜欢哪个TESK,具体见下方说明 当一个包含FLAG_ACTIVITY_NEW_TASK标志的intent启动一个activity时。 一个新的activity,默认地启动到调用startActivity()方法的activity的task中。它和调用者放到同样的back stack中。然而,如果传递给startActivity()的intent包含FLAG_ACTI...
关于TaskAffinity的使用
dawuafang
08-23 117
下面是谷歌官方文档对于Affinity的介绍,后面是我关于Affinity的翻译(总结)和测试。 The affinity comes into play in two circumstances: When the intent that launches an activity contains the FLAG_ACTIVITY_NEW_TASK flag. A new activit...
activity 启动模式_Activity你该懂的
weixin_39605835的博客
11-27 101
0. 提问onStart和onResume有什么区别?onPause和onStop有什么区别?打开一个新Activity时的回调顺序?4种启动模式的含义?任务栈的作用?Activity一定会放入其taskAffinity属性所声明的栈中吗? 一. 生命周期 1. 顺序 Activity Lifecycle 2. 详细作用onCreate:生命周期内只调用1次,用于初始化界面、必要对象创建、基础逻辑...
Android中Activity四种启动模式和taskAffinity属性详解
青铜的博客
11-10 755
android应用开发中,打造良好的用户体验是非常重要的。而在用户体验中,界面的引导和跳转是值得深入研究的重要内容。在开发中,与界面跳转联系比较紧密的概念是Task(任务)和Back Stack(回退栈)。activity的启动模式会影响Task和Back Stack的状态,进而影响用户体验。除了启动模式之外,Intent类中定义的一些标志(以FLAG_ACTIVITY_开头)也会影响Task和Back Stack的状态。在这篇文章中主要对四种启动模式进行分析和验证,其中涉及到activity的一个重要属
AndroidManifest内部标签属性---一篇可能就够了
树叶的博客
03-24 3246
一、基本标签 1. <?xml version="1.0" encoding="utf-8"?> version: xml的版本 encoding: 编码格式 2.AndroidManifest 每一个Android应用都包含一个manifest文件,即AndroidMnifest.xml,用于配置应用的各方面信息; 3. manifest 是And...
Activity加载模式
weixin_33797791的博客
12-21 200
xml中设置加载模式标准:standard栈中单实例:singleTask栈顶单实例:singleTop全局单实例:singInstance (单独开辟任务队列,此队列中只有一个任务)代码中设置加载模式Activity的taskAffinity属性Activity的归属,也就是Activity应该在哪个Task中,Activity与Task的吸附关系。我们知道,一般情况下在同...
Activity TaskAffinity分析
hxk1224的专栏
08-23 426
Activity TaskAffinity分析
android:taskaffinity
04-06
android:taskaffinityAndroid中的一个属性,用于指定Activity所属的任务(Task)。通过设置该属性,可以使Activity运行在指定的任务或者新建一个任务中。当应用中有多个任务时,可以通过该属性来控制Activity的启动行为,以便实现不同的应用场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值