Android安全開發之淺談網頁開啟APP
轉載來源: https://yq.aliyun.com/articles/57088
一、網頁開啟APP簡介
Android有一個特性,可以通過點選網頁內的某個連結開啟APP,或者在其他APP中通過點選某個連結開啟另外一個APP(AppLink),一些使用者量比較大的APP,已經通過釋出其AppLink SDK,開發者需要申請相應的資格,配置相關內容才能使用。這些都是通過使用者自定義的URI scheme實現的,不過背後還是Android的Intent機制。Google的官方文件《Android Intents with Chrome》
第一種使用者自定義的URI scheme形式如下:
第二種的Intent-based URI的語法形式如下:
因為第二種形式大體是第一種形式的特例,所以很多文章又將第二種形式叫Intent Scheme URL,但是在Google的官方文件並沒有這樣的說法。
注意:使用Custom URI scheme給APP傳遞資料,只能使用相關引數來傳遞資料,不能想當然的使用scheme://host#intent;引數;end的形式來構造傳給APP的intent資料。詳見3.1節的說明。
此外,還必須在APP的Androidmanifest檔案中配置相關的選項才能產生網頁開啟APP的效果,具體在下面講。
二、Custom Scheme URI開啟APP
2.1 基本用法
需求:使用網頁開啟一個APP,並通過URL的引數給APP傳遞一些資料。
如自定義的Scheme為:
注意: uri要用UTF-8編碼和URI編碼。
網頁端的寫法如下:
APP端接收來自網頁資訊的Activity,要在Androidmanifest.xml檔案中Activity的intent-filter中宣告相應action、category和data的scheme等。
如在MainActivity中接收從網頁來的資訊,其在AndroidManifest.xml中的內容如下:
在MainActivity中接收intent並且獲取相應引數的程式碼:
另外還有以下幾個API來獲取相關資訊:
getIntent().getScheme(); //獲得Scheme名稱
getIntent().getDataString(); //獲得Uri全部路徑
getIntent().getHost(); //獲得host
2.2 風險示例
常見的用法是在APP獲取到來自網頁的資料後,重新生成一個intent,然後傳送給別的元件使用這些資料。比如使用Webview相關的Activity來載入一個來自網頁的url,如果此url來自url scheme中的引數,如:jaq://jaq.alibaba.com?load_url=http://www.taobao.com。
如果在APP中,沒有檢查獲取到的load_url的值,攻擊者可以構造釣魚網站,誘導使用者點選載入,就可以盜取使用者資訊。
接2.1的示例,新建一個WebviewActivity元件,從intent裡面獲取load_url,然後使用Webview載入url:
修改MainActivity元件,從網頁端的URL中獲取load_url引數的值,生成新的intent,並傳給WebviewActivity:
網頁端:
釣魚頁面:
點選“開啟釣魚網站”,進入APP,並且APP載入了釣魚網站:
本例建議:
在Webview載入load_url時,結合APP的自身業務採用白名單機制過濾網頁端傳過來的資料,黑名單容易被繞過。
2.3 阿里聚安全對開發者建議
1、APP中任何接收外部輸入資料的地方都是潛在的攻擊點,過濾檢查來自網頁的引數。
2、不要通過網頁傳輸敏感資訊,有的網站為了引導已經登入的使用者到APP上使用,會使用指令碼動態的生成URL Scheme的引數,其中包括了使用者名稱、密碼或者登入態token等敏感資訊,讓使用者開啟APP直接就登入了。惡意應用也可以註冊相同的URL Sechme來擷取這些敏感資訊。Android系統會讓使用者選擇使用哪個應用開啟連結,但是如果使用者不注意,就會使用惡意應用開啟,導致敏感資訊洩露或者其他風險。
三、Intent-based URI開啟APP
3.1基本用法
Intent-based URI語法:
注意:第二個Intent的第一個字母一定要大寫,不然不會成功呼叫APP。
如何正確快速的構造網頁端的intent?
可以先建個Android demo app,按正常的方法構造自己想開啟某個元件的Intent物件,然後使用Intent的toUri()方法,會得到Intent物件的Uri字串表示,並且已經用UTF-8和Uri編碼好,直接複製放到網頁端即可,切記前面要加上“intent:”。
如:
結果:
S.load_url是跟的是intent物件的putExtra()方法中的資料。其他型別的資料可以一個個試。如果在demo中的Intent物件不能傳遞給目標APP的Activity或其他元件,則其Uri形式放在網頁端也不可能開啟APP的,這樣寫個demo容易排查錯誤。
APP端中的Androidmanifest.xml的宣告寫法同2.1節中的APP端寫法完全一樣。對於接收到的uri形式的intent,一般使用Intent的parseUri()方法來解析產生新的intent物件,如果處理不當會產生Intent Scheme URL攻擊。
為何不能用scheme://host#intent;引數;end的形式來構造傳給APP的intent資料?
這種形式的intent不會直接被Android正確解析為intent,整個scheme字串資料可以使用Intent的getDataSting()方法獲取到。
如對於:
在APP中獲取資料:
結果是:
由上圖可知Android系統自動為Custom URI scheme添加了預設的intent。
要想正確的解析,還需使用Intent的parseUri()方法對getDataString()獲取到的資料進行解析,如:
3.2 風險示例
關於Intent-based URI的風險我覺得《Android Intent Scheme URLs攻擊》和《Intent Scheme URL attack》這兩篇文章寫的非常好,基本把該說的都都說了,我就不多說了,大家看這兩篇文章吧。
3.3 阿里聚安全對開發者建議
上面兩篇文章中都給出了安全使用Intent Scheme URL的方法:
除了以上的做法,還是不要信任來自網頁端的任何intent,為了安全起見,使用網頁傳過來的intent時,還是要進行過濾和檢查。
四、參考
[1] Android Intents with Chrome,https://developer.chrome.com/multidevice/android/intents
[2] Intent scheme URL attack,http://drops.wooyun.org/papers/2893
[3] Android Appliaction Secure Design/Secure Coding Guidebook,http://www.jssec.org/dl/android_securecoding_en.pdf
[4] Handling App Links,http://developer.android.com/intl/zh-cn/training/app-links/index.html
[5] Android M App Links: 實現, 缺陷以及解決辦法,http://www.jcodecraeer.com/a/anzhuokaifa/androidkaifa/2015/0718/3200.html
[6] Android Intent Scheme URLs攻擊,http://blog.csdn.net/l173864930/article/details/36951805
目錄: