关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking 受影响应用: SmartRide app (de.hafas.android.vvt) 影响范围: 所有 Android 版本在 Android 11 之前 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用时,看到的活动不是原始活动,而是恶意应用的钓鱼活动。 4. 用户在受害应用中输入个人信息,导致账户信息泄露或授予恶意应用相应权限。 原理 属性未设置或默认为包名,攻击者可以创建与受害者应用相同 的任务栈。 当启动受害者应用时,实际显示的是恶意应用的任务栈,从而实现钓鱼攻击。 缓解措施 在 中将应用活动的 设置为 或随机生成的任务亲和性。 或在标签中设置 。 攻击者代码示例 AndroidManifest.xml 和 MainActivity.java 提供了恶意应用的配置和逻辑。 影响 可能导致 Task Hijacking 攻击,攻击者可窃取敏感信息。 参考链接 Medium 文章