Android应用安全开发之浅谈网页打开APP

标签: 移动安全 | 发表时间:2016-04-22 10:05 | 作者:阿里移动安全
分享到:
出处:http://drops.wooyun.org

Author:伊樵,呆狐,舟海@阿里移动安全

0x00 网页打开APP简介


Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLink SDK,开发者需要申请相应的资格,配置相关内容才能使用。这些都是通过用户自定义的URI scheme实现的,不过背后还是Android的Intent机制。Google的官方文档 《Android Intents with Chrome》一文,介绍了在Android Chrome浏览器中网页打开APP的两种方法,一种是用户自定义的URI scheme(Custom URI scheme),另一种是“intent:”语法(Intent-based URI)。

第一种用户自定义的URI scheme形式如下:

p1

第二种的Intent-based URI的语法形式如下:

p2

因为第二种形式大体是第一种形式的特例,所以很多文章又将第二种形式叫Intent Scheme URL,但是在Google的官方文档并没有这样的说法。

注意:使用Custom URI scheme给APP传递数据,只能使用相关参数来传递数据,不能想当然的使用scheme://host#intent;参数;end的形式来构造传给APP的intent数据。详见3.1节的说明。

此外,还必须在APP的Androidmanifest文件中配置相关的选项才能产生网页打开APP的效果,具体在下面讲。

0x01 Custom Scheme URI打开APP


1.1 基本用法

需求:使用网页打开一个APP,并通过URL的参数给APP传递一些数据。 

如自定义的Scheme为:

p3

注意:uri要用UTF-8编码和URI编码。

网页端的写法如下:

p4

APP端接收来自网页信息的Activity,要在Androidmanifest.xml文件中Activity的intent-filter中声明相应action、category和data的scheme等。 

如在MainActivity中接收从网页来的信息,其在AndroidManifest.xml中的内容如下:

p5

在MainActivity中接收intent并且获取相应参数的代码:

p6

另外还有以下几个API来获取相关信息: 

getIntent().getScheme(); //获得Scheme名称 
getIntent().getDataString(); //获得Uri全部路径 
getIntent().getHost(); //获得host

1.2 风险示例

常见的用法是在APP获取到来自网页的数据后,重新生成一个intent,然后发送给别的组件使用这些数据。比如使用Webview相关的Activity来加载一个来自网页的url,如果此url来自url scheme中的参数,如: jaq://jaq.alibaba.com?load_url=http://www.taobao.com

如果在APP中,没有检查获取到的load_url的值,攻击者可以构造钓鱼网站,诱导用户点击加载,就可以盗取用户信息。

接2.1的示例,新建一个WebviewActivity组件,从intent里面获取load_url,然后使用Webview加载url:

p7

修改MainActivity组件,从网页端的URL中获取load_url参数的值,生成新的intent,并传给WebviewActivity:

p8

网页端:

p9

钓鱼页面:

p10

点击“打开钓鱼网站”,进入APP,并且APP加载了钓鱼网站:

p11

本例建议:
在Webview加载load_url时,结合APP的自身业务采用白名单机制过滤网页端传过来的数据,黑名单容易被绕过。

1.3 阿里聚安全对开发者建议

  1. APP中任何接收外部输入数据的地方都是潜在的攻击点,过滤检查来自网页的参数。
  2. 不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。恶意应用也可以注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪个应用打开链接,但是如果用户不注意,就会使用恶意应用打开,导致敏感信息泄露或者其他风险。

0x02 Intent-based URI打开APP


2.1基本用法

Intent-based URI语法:

p12

注意:第二个Intent的第一个字母一定要大写,不然不会成功调用APP。

如何正确快速的构造网页端的intent?

可以先建个Android demo app,按正常的方法构造自己想打开某个组件的Intent对象,然后使用Intent的toUri()方法,会得到Intent对象的Uri字符串表示,并且已经用UTF-8和Uri编码好,直接复制放到网页端即可,切记前面要加上“intent:”。 

如:

p13

结果:

p14

S.load_url是跟的是intent对象的putExtra()方法中的数据。其他类型的数据可以一个个试。

如果在demo中的Intent对象不能传递给目标APP的Activity或其他组件,则其Uri形式放在网页端也不可能打开APP的,这样写个demo容易排查错误。

APP端中的Androidmanifest.xml的声明写法同2.1节中的APP端写法完全一样。对于接收到的uri形式的intent,一般使用Intent的parseUri()方法来解析产生新的intent对象,如果处理不当会产生Intent Scheme URL攻击。

为何不能用scheme://host#intent;参数;end的形式来构造传给APP的intent数据?

这种形式的intent不会直接被Android正确解析为intent,整个scheme字符串数据可以使用Intent的getDataSting()方法获取到。 

如对于:

p15

在APP中获取数据:

p16

结果是:

p17

由上图可知Android系统自动为Custom URI scheme添加了默认的intent。 

要想正确的解析,还需使用Intent的parseUri()方法对getDataString()获取到的数据进行解析,如:

p18

2.2 风险示例

关于Intent-based URI的风险我觉得 《Android Intent Scheme URLs攻击》《Intent Scheme URL attack》这两篇文章写的非常好,基本把该说的都都说了,我就不多说了,大家看这两篇文章吧。

2.3 阿里聚安全对开发者建议

上面两篇文章中都给出了安全使用Intent Scheme URL的方法:

p19

除了以上的做法,还是不要信任来自网页端的任何intent,为了安全起见,使用网页传过来的intent时,还是要进行过滤和检查。

0x03 参考


  1. Android Intents with Chrome
  2. Intent scheme URL attack 
  3. Android Appliaction Secure Design/Secure Coding Guidebook
  4. Handling App Links
  5. Android M App Links: 实现, 缺陷以及解决办法
  6. Android Intent Scheme URLs攻击

相关 [android 应用 开发] 推荐:

Android应用开发资源

- - InfoQ cn
Android应用设计和开发人员现在可以参考由Android用户体验(UX)团队官方发布的 Android设计指南. 该指南提供了开发者应该遵循的基本原则,并列出了很多细节指导,涉及 设备与显示、 主题、 触控交互、 度量与栅格、 排版、 色彩、 图标设计,以及如何 编写用户交互界面的提示语.

Eclipse开发Android应用程序入门

- Bingnan - 酷壳 - CoolShell.cn
原文出处:http://www.smashingmagazine.com/2010/10/25/get-started-developing-for-android-with-eclipse/. 如今的移动设备应用程序开发充满着让人振奋的东西. 功能强大的硬件支持,平板电脑,多样的软件平台(塞班 OS,iOS,WebOS,Windows Phone 7…),移动设备开发者前景充满了机会和挑战.

开发基于 Google Map 的 Android 应用

- - 博客 - 伯乐在线
简介: 随着移动互联网应用的迅速发展,利用智能手机提供的实时地理位置信息服务功能扩展出众多 LBS(Location Based Service) 应用,将实时地理位置信息与手机的便捷、移动特性结合,为人们提供多种多样的应用场景,比如实时定位、导航、搜索周围好友、基于地理位置的信息推荐等. 本文通过实例介绍如何开发基于 Google Map 的 Android 应用.

Android 开发者在 Android Market 上兜售应用

- SotongDJ - 谷安——谷奥Android专题站
无论你是 Android 用户还是开发者,我们相信你会同意我们所说的一个事实:Android Market 还远未完善,我们不是在谈论它的用户界面或者是如何“开放”,而是另外一个话题. CatNinjaFly,或者是 SuperNinjaCat,又或者是 NinjaCatFly. 叫什么都不要紧,要紧的是我们关心的这个问题,要紧的是它们都是来自同一开发者的完全是相同的游戏,很显然,开发者(商)NANJAANDROID 为了让他们的应用能够在 Android Market 多一些曝光率于是用不同的名称来在 Android Market 中兜售.

Pocket 开发商支招 Android 应用开发

- - ITeye资讯频道
网页资讯收藏阅读应用Pocket(改版前的名称为“Read It Later”)日前发布了一篇官方博客文章,由其Android应用开发主管麦克斯•韦纳(Max Weiner)讲述了Android版Pocket(一款网页资讯收藏阅读热门应用)应用的诞生历程. 韦纳透露这一应用的最初开发与测试只用了两部手机,指出 Android应用开发者大可不必 被海量机型吓倒,并建议他们充分利用用户群体和新资源.

10款对开发者有帮助的Android应用

- G.L - 开源中国社区最新新闻
这次收集的应用是准备给开发者的,相信对你会非常有帮助. 10款对开发者有帮助的Android应用,列表如下: 1. Remote Desktop Client 该款应用帮你连接你的Windows电脑. AndFTP FTP/SFTP客户端. mAnalytics 查看你的项目的GA分析数据. touchqode 在手机上查看和编辑源码,包括语法高亮、自动完成,整合FTP/SFTP.

Android将允许纯C/C++开发应用

- Xiujun Ma - 牛博山寨 编辑推荐
对于Android,长期以来,我一直有两件事搞不懂,. 一个是为什么Android要选用Java. 对于嵌入式开发,CPU和内存都很宝贵,居然还使用Java. 一个是为什么Android的开发站点要被墙. 最近,在一个Android开发人员的Blog上证实了在NDK r5使用C/C++进行开发. (以前,Android 对C/C++开发的支持仅限于用C/C++开发动态链接库,然后在Java中以JNI的形式来调用)现在,你可以用纯C/C++开发了(参看下面的程序代码).

黑客开发iEmu欲使Android等模拟运行iOS应用

- zhipeng - cnBeta.COM
据国外媒体报道,一群早期的iPhone黑客目前正在打造一个名为iEmu的项目,这个项目致力于使Linux、Windows、Mac和Android可以模拟运行iOS应用. 据悉,这个项目建立在开源模拟器QEMU的基础之上,项目负责人,同时也是参与早期iPhone越狱破解的克里斯・韦德(ChrisWade)表示,希望能完全模拟iOS应用在iPad第一代和iPhone4A4CPU上的运行状态.

基于 PhoneGap 与 Java 开发的 Android 应用的性能对比

- jinn - 搜索研发部官方博客
        此次的调研的重点是针对一个Android应用的基础需求,用phonegap与Java实现的应用在性能及开发成本等方面的对比.        开发一个应用的最基本需求应该是浏览性需求,而在Android开发中ListView比较常用的控件,广泛被用于数据列表的展现上,而且也比较灵活. 所以本次选择用phonegap和Java各自实现一个ListView的内容展现功能的应用;同时引入另外一个常用组件GridView来实现图片浏览的功能应用.

RAP Mobile:用Java开发iOS和Android应用

- - ITeye资讯频道
自从Web技术如HTML5、JavaScript、CSS在移动编程上日益流行后,Java在编写跨平台移动应用上似乎不太流行了. 因此, EclipseSoure公司近日推出了 RAP Mobile,希望能够作为Java跨平台开发的一个替代方案. RAP Mobile提供了一个强大的Widget工具包,可用于渲染(render)原生的iOS和Android widget.