关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking 受影响应用: Idnow Online app (de.idnow) 影响范围: 所有 Android 版本在 Android 11 之前 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的活动不是应用的原始活动,而是恶意应用的钓鱼活动。 4. 用户误以为正在使用受害应用(实际上是恶意应用),输入个人信息,导致账户信息泄露或授予恶意应用相应权限。 原理 由于大多数应用的 属性未设置,默认为包名,攻击者可以设置与目标应用包名一致的 。 当恶意活动启动时,会创建一个与受害者应用相同的任务栈,并位于任务栈根部。 当用户打开受害者应用时,任务栈根部的恶意活动会被带到前台,从而实现任务劫持。 缓解措施 在 文件中为应用活动设置 属性为 ,强制所有活动使用随机生成的任务亲和性,或在标签中设置以对应用中的所有活动进行强制执行。 攻击者代码示例 提供了恶意应用的 和 代码示例。 影响 由于 Android 清单文件配置错误,可能执行任务劫持攻击。攻击者可以创建恶意移动应用,劫持合法应用并窃取设备上安装后潜在的敏感信息。 参考资料 Medium 文章