Android应用安全开发之浅谈网页打开APP

标签: 移动安全 | 发表时间:2016-04-22 10:05 | 作者:阿里移动安全
出处:http://drops.wooyun.org

Author:伊樵,呆狐,舟海@阿里移动安全

0x00 网页打开APP简介


Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLink SDK,开发者需要申请相应的资格,配置相关内容才能使用。这些都是通过用户自定义的URI scheme实现的,不过背后还是Android的Intent机制。Google的官方文档 《Android Intents with Chrome》一文,介绍了在Android Chrome浏览器中网页打开APP的两种方法,一种是用户自定义的URI scheme(Custom URI scheme),另一种是“intent:”语法(Intent-based URI)。

第一种用户自定义的URI scheme形式如下:

p1

第二种的Intent-based URI的语法形式如下:

p2

因为第二种形式大体是第一种形式的特例,所以很多文章又将第二种形式叫Intent Scheme URL,但是在Google的官方文档并没有这样的说法。

注意:使用Custom URI scheme给APP传递数据,只能使用相关参数来传递数据,不能想当然的使用scheme://host#intent;参数;end的形式来构造传给APP的intent数据。详见3.1节的说明。

此外,还必须在APP的Androidmanifest文件中配置相关的选项才能产生网页打开APP的效果,具体在下面讲。

0x01 Custom Scheme URI打开APP


1.1 基本用法

需求:使用网页打开一个APP,并通过URL的参数给APP传递一些数据。 

如自定义的Scheme为:

p3

注意:uri要用UTF-8编码和URI编码。

网页端的写法如下:

p4

APP端接收来自网页信息的Activity,要在Androidmanifest.xml文件中Activity的intent-filter中声明相应action、category和data的scheme等。 

如在MainActivity中接收从网页来的信息,其在AndroidManifest.xml中的内容如下:

p5

在MainActivity中接收intent并且获取相应参数的代码:

p6

另外还有以下几个API来获取相关信息: 

getIntent().getScheme(); //获得Scheme名称 
getIntent().getDataString(); //获得Uri全部路径 
getIntent().getHost(); //获得host

1.2 风险示例

常见的用法是在APP获取到来自网页的数据后,重新生成一个intent,然后发送给别的组件使用这些数据。比如使用Webview相关的Activity来加载一个来自网页的url,如果此url来自url scheme中的参数,如: jaq://jaq.alibaba.com?load_url=http://www.taobao.com

如果在APP中,没有检查获取到的load_url的值,攻击者可以构造钓鱼网站,诱导用户点击加载,就可以盗取用户信息。

接2.1的示例,新建一个WebviewActivity组件,从intent里面获取load_url,然后使用Webview加载url:

p7

修改MainActivity组件,从网页端的URL中获取load_url参数的值,生成新的intent,并传给WebviewActivity:

p8

网页端:

p9

钓鱼页面:

p10

点击“打开钓鱼网站”,进入APP,并且APP加载了钓鱼网站:

p11

本例建议:
在Webview加载load_url时,结合APP的自身业务采用白名单机制过滤网页端传过来的数据,黑名单容易被绕过。

1.3 阿里聚安全对开发者建议

  1. APP中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
  2. 不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。

0x02 Intent-based URI打开APP


2.1基本用法

Intent-based URI语法:

p12

注意:第二个Intent的第一个字母一定要大写,不然不会成功调用APP。

如何正确快速的构造网页端的intent?

可以先建个Android demo app,按正常的方法构造自己想打开某个组件的Intent对象,然后使用Intent的toUri()方法,会得到Intent对象的Uri字符串表示,并且已经用UTF-8和Uri编码好,直接复制放到网页端即可,切记前面要加上“intent:”。 

如:

p13

结果:

p14

S.load_url是跟的是intent对象的putExtra()方法中的数据。其他类型的数据可以一个个试。

如果在demo中的Intent对象不能传递给目标APP的Activity或其他组件,则其Uri形式放在网页端也不可能打开APP的,这样写个demo容易排查错误。

APP端中的Androidmanifest.xml的声明写法同2.1节中的APP端写法完全一样。对于接收到的uri形式的intent,一般使用Intent的parseUri()方法来解析产生新的intent对象,如果处理不当会产生Intent Scheme URL攻击。

为何不能用scheme://host#intent;参数;end的形式来构造传给APP的intent数据?

这种形式的intent不会直接被Android正确解析为intent,整个scheme字符串数据可以使用Intent的getDataSting()方法获取到。 

如对于:

p15

在APP中获取数据:

p16

结果是:

p17

由上图可知Android系统自动为Custom URI scheme添加了默认的intent。 

要想正确的解析,还需使用Intent的parseUri()方法对getDataString()获取到的数据进行解析,如:

p18

2.2 风险示例

关于Intent-based URI的风险我觉得 《Android Intent Scheme URLs攻击》《Intent Scheme URL attack》这两篇文章写的非常好,基本把该说的都都说了,我就不多说了,大家看这两篇文章吧。

2.3 阿里聚安全对开发者建议

上面两篇文章中都给出了安全使用Intent Scheme URL的方法:

p19

除了以上的做法,还是不要信任来自网页端的任何intent,为了安全起见,使用网页传过来的intent时,还是要进行过滤和检查。

0x03 参考


  1. Android Intents with Chrome
  2. Intent scheme URL attack 
  3. Android Appliaction Secure Design/Secure Coding Guidebook
  4. Handling App Links
  5. Android M App Links: 实现, 缺陷以及解决办法
  6. Android Intent Scheme URLs攻击

相关 [android 应用 安全] 推荐:

ANDROID应用安全防御

- - 移动开发 - ITeye博客
Android应用的安全隐患包括三个方面:代码安全、数据安全和组件安全.   代码安全主要是指Android apk有被篡改、盗版等风险,产生代码安全的主要原因是apk很容易被反编译、重打包. 我们可以采用以下方法对apk进行保护:.   代码混淆可以在一定程度上增加apk逆向分析的难度. Android SDK从2.3开始就加入了ProGuard代码混淆功能,开发者只需进行简单的配置就可以实现对代码的混淆.

Android 应用安全风险与防范

- - DiyCode - 致力于构建开发工程师高端交流分享社区社区
Hello,大家好,我是Clock. 最近一段时间在做Android应用安全方面的功课,本文进行简单梳理方便以后Review,有错误和遗漏之处还请大家指出. Android开发除了部分功能采用C/C++编码外,其余主要都是采用Java进行编码开发功能. Java应用非常容易被反编译,Android自然也不例外.

Android应用安全之脆弱的加密 - bamb00

- - 博客园_首页
程序员希望通过加密来提升程序的安全性性,但却缺乏专业的密码学背景知识,使得应用对数据的保护非常薄弱. 本文将介绍可能出现在Android应用中的一些脆弱的加密方式,以及对应的攻击方法.   Android应用中造成弱加密的原因多种多样,OWASP Mobile Top 10 给出了几个原因:  . 使用了强健的加密算法,但加密的实现存在漏洞.

两款免费的Android应用代码安全检测工具

- - FreeBuf.COM | 关注黑客与极客
‍‍FreeBuf前不久刚刚 报道过,美‍‍图秀秀、gReader、福昕PDF阅读器等14款Android应用易遭中间人攻击. 今天,央视《 新闻直播间》也用“黄金三分钟”介绍了安卓手机上存在的名为“寄生兽”的通用型安全漏洞,影响规模达到数以千万级的用户,市面上安卓90%APP都中招. 今年6月Android智能手机在美国的市场份额上升2.8%,达到64.9%.

Android应用安全开发之浅谈网页打开APP

- - WooYun知识库
Author:伊樵,呆狐,舟海@阿里移动安全. 0x00 网页打开APP简介. Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLink SDK,开发者需要申请相应的资格,配置相关内容才能使用.

从零开始学Android应用安全测试(Part1)

- - FreeBuf.COM | 关注黑客与极客
在本系列文章中,利用InsecureBankv2这款含有漏洞的安卓应用,我们可以了解到有关安卓应用安全的种种概念. 我们将从一个新手的角度看待每一个问题. 所以,我建议新手朋友可以关注下本系列文章. 由于教程是从零开始,前面的东西不免会比较基础,老鸟请先飞过吧. 在对安卓应用测试之前,我们需要搭建一个合适的移动渗透平台.

腾讯应用中心Android客户端上线 设安全认证

- Tony - cnBeta.COM
Android腾讯应用中心客户端昨日全新上线,其前身是“QQ手机软件管理”. 腾讯应用中心Android客户端全新的UI和架构,显示出腾讯应用中心的社区化和开放平台理念,同时腾讯应用中心每款应用都经专业的QQ手机管家认证,用户下载更安心.

92%的主流Android应用都存在安全或隐私风险

- - IT经理网
云移动风险管理公司 MetaIntell近日对包括亚马逊、CNET以及谷歌官方应用商店Google Play中,人们最常下载的前500名应用进行测试后发现,92%的Android应用都采用了不安全的通讯协议,60%的应用与黑名单列表中的网站通讯,20%的应用在用户不知情或未经用户授权的情况下加载远程或者本地应用.

GetEd2k (Android应用)

- 某牢 - eMule Fans 电骡爱好者
GetEd2k是一个Android应用程序,作者是anacletus. 此应用可以帮助你把网页中的电驴(eDonkey) 链接添加到你个人电脑的电驴客户端里,不过前提是你的客户端开启了用于远程控制的Web interface(Web服务器,网页接口,Web界面),当然,eMule(电骡), MLDonkey 和 aMule 都支持该功能,所以这三种主流电驴客户端的用户都可以使用GetEd2k.

Android操作系统安全

- - CSDN博客推荐文章
        Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行起来.        根据以上的Android系统架构分析,可以发现在三个层面可能存在恶意软件.