关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration Leading to Task Hijacking 受影响应用: com.xiaoxun.xunoversea.mibrofit (Mibro Fit app) 影响范围: 所有Android版本在11之前 攻击步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的活动不是原应用的活动,而是恶意应用的钓鱼活动。 4. 用户误以为在使用受害应用(实际上是恶意应用),输入个人信息,导致账户信息泄露或授予恶意应用相应权限。 原理 利用大多数应用未设置 属性,默认为包名,与恶意软件的 一致。 当恶意软件启动时,创建与受害应用相同的任务栈,并位于任务栈根部。 启动受害应用时,其任务被带到前台,然后恶意软件的任务栈根部被带到前台。 设计钓鱼页面模仿受害应用的真实活动,进行钓鱼攻击,获取用户隐私并诱导用户授予恶意软件相应权限。 缓解措施 在 文件中将应用活动的 属性设置为 ,强制所有活动使用随机生成的任务亲和性,或将其设置为 以对应用中的所有活动强制执行。 影响 由于Android清单文件中的错误配置,可以执行任务劫持攻击。攻击者可以创建一个恶意移动应用程序,劫持合法应用并窃取潜在敏感信息。 参考资料 Medium文章