关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking 受影响应用: CIC banque app (com.cic_prod.bad) 影响范围: 所有 Android 版本在 Android 11 之前 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时看到的活动不是原应用的活动,而是恶意应用的钓鱼活动。 4. 用户认为自己在使用受害应用,输入个人信息,导致信息泄露或授予恶意应用权限。 原理 属性未设置或默认为包名,攻击者可以在恶意应用中设置与受害应用相同的 。 当启动受害应用时,恶意应用的任务栈会被带到前台,用户看到的是恶意应用的钓鱼页面。 缓解措施 在 中将应用活动的 属性设置为 ,强制活动使用随机生成的任务亲和性。 或者在标签中设置 。 攻击者代码示例 AndroidManifest.xml: MainActivity.java: 影响 由于 Android manifest 文件的配置错误,攻击者可以创建恶意应用劫持合法应用,窃取敏感信息。