关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking。 受影响应用: mail.com 的 Email 应用和 Cloud 应用 ( )。 影响范围: 所有 Android 版本在 Android 11 之前。 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的是恶意应用的钓鱼活动。 4. 用户误以为在使用受害应用,输入个人信息,导致账户信息泄露或授予恶意应用权限。 原理 利用 属性未设置或默认为包名的问题。 恶意应用创建与受害应用相同的任务栈,当用户启动受害应用时,实际打开的是恶意应用。 缓解措施 在 中将 设置为 或随机生成的任务亲和性。 或者在 标签中设置 强制所有活动使用随机生成的任务亲和性。 攻击者代码示例 影响 由于 Android manifest 文件中的配置错误,攻击者可以创建恶意移动应用,劫持合法应用并窃取敏感信息。