关键信息 漏洞描述 漏洞类型: Android Manifest Misconfiguration 导致的 Task Hijacking 受影响应用: webull-stock app (org.dayup.stocks) 复现步骤 1. 用户下载恶意应用。 2. 用户使用恶意应用。 3. 用户使用受害应用,此时显示的活动不是原应用的活动,而是恶意应用的钓鱼活动。 4. 用户误以为在使用受害应用,输入个人信息,导致信息泄露或授予恶意应用权限。 原理 由于大多数应用的 属性未设置,默认为包名,攻击者可以设置与目标应用一致的 。 当恶意活动启动时,会创建与受害应用相同的任务栈,并位于任务栈根部。 启动受害应用时,其任务栈被带到前台,恶意活动随之显示,实施钓鱼攻击。 缓解措施 在 中设置所有应用活动的 属性为 或随机生成的任务亲和性。 强制应用中所有活动使用特定的任务亲和性。 攻击者代码示例 视频概念验证 视频显示恶意程序成功劫持任务,当启动受害应用时,实际打开的是恶意应用。