关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking 受影响应用: Huuge Box app (com.huuge.game.zjbox) 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的是恶意应用的钓鱼活动,而非原应用活动。 4. 用户误以为在使用受害应用,输入个人信息,导致账户信息泄露或授予恶意应用权限。 原理 由于大多数应用未设置 属性,默认为包名。攻击者可设置与目标应用一致的 ,创建与受害者应用相同的任务栈,并置于任务栈根部。当用户启动受害应用时,实际启动的是恶意应用的钓鱼页面。 缓解措施 在 中设置应用活动的 属性为随机生成值或空字符串,以防止所有活动共享同一任务栈。 攻击者代码示例 AndroidManifest.xml: MainActivity.java: 影响 由于 Android manifest 文件配置错误,攻击者可通过创建恶意应用进行任务劫持攻击,窃取敏感信息。 参考链接 Medium文章