摘要:如果在中,没有检查获取到的的值,攻击者可以构造钓鱼网站,诱导用户点击加载,就可以盗取用户信息。阿里聚安全对开发者建议中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
一、网页打开APP简介
Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLink SDK,开发者需要申请相应的资格,配置相关内容才能使用。这些都是通过用户自定义的URI scheme实现的,不过背后还是Android的Intent机制。Google的官方文档《Android Intents with Chrome》一文,介绍了在Android Chrome浏览器中网页打开APP的两种方法,一种是用户自定义的URI scheme(Custom URI scheme),另一种是“intent:”语法(Intent-based URI)。
第一种用户自定义的URI scheme形式如下:
第二种的Intent-based URI的语法形式如下:
因为第二种形式大体是第一种形式的特例,所以很多文章又将第二种形式叫Intent Scheme URL,但是在Google的官方文档并没有这样的说法。
注意:使用Custom URI scheme给APP传递数据,只能使用相关参数来传递数据,不能想当然的使用scheme://host#intent;参数;end的形式来构造传给APP的intent数据。详见3.1节的说明。
此外,还必须在APP的Androidmanifest文件中配置相关的选项才能产生网页打开APP的效果,具体在下面讲。
需求:使用网页打开一个APP,并通过URL的参数给APP传递一些数据。
如自定义的Scheme为:
注意: uri要用UTF-8编码和URI编码。
网页端的写法如下:
APP端接收来自网页信息的Activity,要在Androidmanifest.xml文件中Activity的intent-filter中声明相应action、category和data的scheme等。
如在MainActivity中接收从网页来的信息,其在AndroidManifest.xml中的内容如下:
在MainActivity中接收intent并且获取相应参数的代码:
另外还有以下几个API来获取相关信息:
getIntent().getScheme(); //获得Scheme名称
getIntent().getDataString(); //获得Uri全部路径
getIntent().getHost(); //获得host
常见的用法是在APP获取到来自网页的数据后,重新生成一个intent,然后发送给别的组件使用这些数据。比如使用Webview相关的Activity来加载一个来自网页的url,如果此url来自url scheme中的参数,如:jaq://jaq.alibaba.com?load_url=http://www.taobao.com。
如果在APP中,没有检查获取到的load_url的值,攻击者可以构造钓鱼网站,诱导用户点击加载,就可以盗取用户信息。
接2.1的示例,新建一个WebviewActivity组件,从intent里面获取load_url,然后使用Webview加载url:
修改MainActivity组件,从网页端的URL中获取load_url参数的值,生成新的intent,并传给WebviewActivity:
网页端:
钓鱼页面:
点击“打开钓鱼网站”,进入APP,并且APP加载了钓鱼网站:
本例建议:
在Webview加载load_url时,结合APP的自身业务采用白名单机制过滤网页端传过来的数据,黑名单容易被绕过。
1、APP中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
2、不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。
三、Intent-based URI打开APP 3.1基本用法Intent-based URI语法:
注意:第二个Intent的第一个字母一定要大写,不然不会成功调用APP。
如何正确快速的构造网页端的intent?
可以先建个Android demo app,按正常的方法构造自己想打开某个组件的Intent对象,然后使用Intent的toUri()方法,会得到Intent对象的Uri字符串表示,并且已经用UTF-8和Uri编码好,直接复制放到网页端即可,切记前面要加上“intent:”。
如:
结果:
S.load_url是跟的是intent对象的putExtra()方法中的数据。其他类型的数据可以一个个试。如果在demo中的Intent对象不能传递给目标APP的Activity或其他组件,则其Uri形式放在网页端也不可能打开APP的,这样写个demo容易排查错误。
APP端中的Androidmanifest.xml的声明写法同2.1节中的APP端写法完全一样。对于接收到的uri形式的intent,一般使用Intent的parseUri()方法来解析产生新的intent对象,如果处理不当会产生Intent Scheme URL攻击。
为何不能用scheme://host#intent;参数;end的形式来构造传给APP的intent数据?
这种形式的intent不会直接被Android正确解析为intent,整个scheme字符串数据可以使用Intent的getDataSting()方法获取到。
如对于:
在APP中获取数据:
结果是:
由上图可知Android系统自动为Custom URI scheme添加了默认的intent。
要想正确的解析,还需使用Intent的parseUri()方法对getDataString()获取到的数据进行解析,如:
关于Intent-based URI的风险我觉得《Android Intent Scheme URLs攻击》和《Intent Scheme URL attack》这两篇文章写的非常好,基本把该说的都都说了,我就不多说了,大家看这两篇文章吧。
3.3 阿里聚安全对开发者建议上面两篇文章中都给出了安全使用Intent Scheme URL的方法:
除了以上的做法,还是不要信任来自网页端的任何intent,为了安全起见,使用网页传过来的intent时,还是要进行过滤和检查。
四、参考[1] Android Intents with Chrome,https://developer.chrome.com/multidevice/android/intents
[2] Intent scheme URL attack,http://drops.wooyun.org/papers/2893
[3] Android Appliaction Secure Design/Secure Coding Guidebook,http://www.jssec.org/dl/android_securecoding_en.pdf
[4] Handling App Links,http://developer.android.com/intl/zh-cn/training/app-links/index.html
[5] Android M App Links: 实现, 缺陷以及解决办法,http://www.jcodecraeer.com/a/anzhuokaifa/androidkaifa/2015/0718/3200.html
[6] Android Intent Scheme URLs攻击,http://blog.csdn.net/l173864930/article/details/36951805
作者:伊樵,呆狐,舟海@阿里移动安全,更多技术文章,请点击阿里聚安全博客
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/12737.html
摘要:阿里聚安全的应用漏洞扫描服务,可以检测出应用的文件目录遍历风险。阿里聚安全对开发者建议对重要的压缩包文件进行数字签名校验,校验通过才进行解压。 1、ZIP文件目录遍历简介 因为ZIP压缩包文件中允许存在../的字符串,攻击者可以利用多个../在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件,轻则产生本地拒绝服务漏洞...
摘要:阿里聚安全的应用漏洞扫描服务,可以检测出应用的文件目录遍历风险。阿里聚安全对开发者建议对重要的压缩包文件进行数字签名校验,校验通过才进行解压。 1、ZIP文件目录遍历简介 因为ZIP压缩包文件中允许存在../的字符串,攻击者可以利用多个../在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件,轻则产生本地拒绝服务漏洞...
摘要:必须保证其签发的每个证书的用户身份是唯一的。阿里聚安全对开发者建议阿里聚安全的漏洞扫描器发现,很多都存在使用不当的风险。正确使用能有效抵御在用户设备上安装证书进行中间人攻击和攻击。阿里聚安全推出了一个能完美解决这个问题的安全组件。 showImg(https://segmentfault.com/img/remote/1460000007097237?w=518&h=220); 1、H...
摘要:简介在阿里聚安全的漏洞扫描器中和人工安全审计中,经常发现有开发者将密钥硬编码在代码文件中,这样做会引起很大风险。阿里聚安全开发建议通过以上案例,并总结下自己平时发现密钥硬编码的主要形式有密钥直接明文存在文件中,这是最不安全的。 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码、文件中,这样做会引起很大风险。信息安全的基础在于密码学,...
摘要:毫无疑问,作为近两年前端三大流行框架之一,正成为程序员们最喜爱的框架。自年月开源至今,已有千万网站使用来进行前端构架,使之成为最受欢迎的项目之一。经过这几年的沉淀,越来越强大,暂不提这几年在国内与之间的矛盾,这其中还有很大谈判空间。 showImg(https://segmentfault.com/img/bV0dY9?w=469&h=240); React在国外已被各个公司的各种产品...
阅读 905·2021-10-09 09:43
阅读 16996·2021-09-22 15:52
阅读 901·2019-08-30 15:44
阅读 2899·2019-08-30 15:44
阅读 3115·2019-08-26 14:07
阅读 806·2019-08-26 13:55
阅读 2451·2019-08-26 13:41
阅读 2967·2019-08-26 13:29
