关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration Leading to Task Hijacking 受影响应用: Idnow Online app (de.idnow) 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的活动是恶意应用的钓鱼活动,而非原应用的活动。 4. 用户误以为在使用受害应用(实际上是恶意应用),输入个人信息,导致账户信息泄露或诱导用户授予恶意应用相应权限。 原理 由于大多数应用未设置 属性,默认为包名,攻击者可以设置与目标应用包名一致的 值。 当劫持活动启动时,会创建一个与受害应用相同的任务栈,并位于任务栈根部。 当用户打开受害应用时,任务栈会被带到前台,劫持活动也会被带到前台,显示非原应用活动,而是钓鱼页面。 缓解措施 在 文件中设置应用活动的 属性为随机生成的任务亲和性,或设置为空字符串以强制所有活动使用独立任务亲和性。 攻击者应用代码 AndroidManifest: MainActivity: 影响 由于Android manifest文件配置错误,可能进行任务劫持攻击。攻击者可创建恶意移动应用,劫持合法应用并窃取设备上潜在敏感信息。 参考资料 Medium文章