Android静态安全检查（五）：Activity劫持

忘是亡心i 2022-05-21 13:26 342阅读 0赞

# 什么是Activity劫持 #

一般情况下分为两种

第一种是，手机里面安装了恶意程序，恶意程序会注册一个Receiver，响应android.intent.action.BOOT\_COMPLETED事件，这个Service会启动一个定时器，不停的循环查询当前运行的进程。一旦当前的进程正是我们要劫持的，并运行在前台，立马使用FLAG\_ACTIVITY\_NEW\_TASK启动自己的恶意应用界面处于栈顶，用户看到的就是恶意应用的界面，获取用户输入的隐私信息，并发送到服务器。这篇文章有详细介绍《[Android之Activity界面劫持反劫持][Android_Activity]》

第二种是，Android中启动一个Activity常用的方法是startActivity。startActivity的参数时Intent，这个Intent有两种设置方式

*  通过设置action，系统找到接收该action的Activity，然后启动
 *  明确指定要启动的Activity所在的包和Activity的对应的类名。

当一个应用程序通过action来启动某个Activity时，另一个恶意应用可以创建一个同样的action来接收Activity。在Android应用中，如果存在多个Activity接收同一个action，那么就会提供一个选择列表让用户进行选择。一旦用户选错了，就进入了恶意程序的界面，当用户输入隐私信息，有可能被恶意程序将数据发送给服务器，导致用户信息泄露。

# 检测方法 #

针对上面说的两种Activity劫持情况，

第一种情况由于是第三方应用的恶意行为，对于被劫持的应用没有检测方法，只能防范。

第二种情况比较好检测，扫描所有的startActivity和startActivityForResult方法，查看其中的Intent参数，判断该Inteny是否满足以下情况：

*  Intent在new时指定了class
 *  Intent使用setClass方法指定class
 *  Intent使用setComponent方法指定了package和class

如果该Intent不满足上面任何一种情况，则这个startActivity可能被外部应用劫持

# 修复方案 #

第一种情况不好防范，唯一能做的就是当应用程序从前台到后台，弹窗提示一下用户。

第二种情况，当创建Intent的时候，显示的指定要启动的Activity的包名和类名，不使用action方式启动。

[Android_Activity]: https://blog.csdn.net/lvxiangan/article/details/79299005

发表评论取消回复

表情：

评论列表（有 0 条评论，342人围观）

还没有评论，来说两句吧...

相关阅读

相关 Android静态安全检查（九）：不安全的SDCard存储检测

SDCard读写风险 Android系统中存放的文件存储卡有内置存储卡和外置的存储卡 SDCard是外部存储卡，类似U盘，没有对文件进行权限控制，因此程序只需要有SDC

比眉伴天荒/ 2022年05月21日 13:45/ 0 赞/ 536 阅读

相关 Android静态安全检查（六）：Service劫持

什么是Service劫持 Android应用中，Service是一个重要的组件，用于执行比较耗时的后台任务，启动一个Service常用的方法是ComponentName

今天药忘吃喽~/ 2022年05月21日 13:38/ 0 赞/ 229 阅读

相关 Android静态安全检查（五）：Activity劫持

什么是Activity劫持一般情况下分为两种第一种是，手机里面安装了恶意程序，恶意程序会注册一个Receiver，响应android.intent.action.B

忘是亡心i/ 2022年05月21日 13:26/ 0 赞/ 343 阅读

相关 Android静态安全检查（四）：允许调试检测

允许调试风险在Android应用的Manifest.xml有一个Debugable属性，决定应用程序可不可以在手机上进行调试。只有该值为true，我们才可以在手机上进行

妖狐艹你老母/ 2022年05月21日 13:25/ 0 赞/ 421 阅读

相关 Android静态安全检查（三）：允许备份检测

应用允许备份漏洞 Android应用的Manifest.xml的Application标签下的allowBackup属性决定当前的应用程序可不可以备份，如果可以备份，则可

向右看齐/ 2022年05月21日 13:23/ 0 赞/ 249 阅读

相关 Android静态安全检查（一）:组件暴露

Android四大组件简介 Android应用有四大组件Activity、Service服务、Content Provider内容提供者和Broadcast Receiv

墨蓝/ 2022年05月21日 12:09/ 0 赞/ 159 阅读

相关 Android静态安全检查（十五）：WebView明文密码存储检测

明文密码存储 Android的WebView组件默认打开了提示用户是否保存密码存储功能，如果用户选择了保存，用户名和密码就会被明文存储到该应用的database/webv

灰太狼/ 2022年05月20日 02:15/ 0 赞/ 817 阅读

相关 Android静态安全检查（十四）：开放服务检测

为什么应用开放服务不安全开启服务即创建监听端口的SocketServer，通过SocketServer开启服务，可以接受客户端的请求操作，通常使用NanoHTTPD库来

梦里梦外;/ 2022年05月20日 02:13/ 0 赞/ 263 阅读

相关 Android安全检查之Activity劫持检测

处理检测app进去后台的时候提示用户也就是在onPause的时候 / Is foreground boolean.

悠悠/ 2022年02月13日 00:20/ 0 赞/ 719 阅读

相关 Android安全检查之Activity和Service越权检测

通过exported设置为false不对外暴露组件 ![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cH

电玩女神/ 2022年02月13日 00:09/ 0 赞/ 519 阅读