什么是Activity劫持 简单的说就是APP正常的Activity界面被恶意攻击者替换上仿冒的恶意Activity界面进行攻击和非法用途。界面劫持攻击通常难被识别出来,其造成的后果不仅会给用户带来严重损失,更是移动应用开发者们的恶梦。举个例子来说,当用户打开安卓手机上的某一应用,进入到登陆页面,这时,恶意软件侦测到用户的这一动作,立即弹出一个与该应用界面相同的Activity,覆盖掉了合法的Activity,用户几乎无法察觉,该用户接下来输入用户名和密码的操作其实是在恶意软件的Activity上进行的,最终会发生什么就可想而知了。
Activity界面被劫持的原因 很多网友发现,如果在启动一个Activity时,给它加入一个标志位FLAG_ACTIVITY_NEW_TASK,就能使它置于栈顶并立马呈现给用户。针对这一操作,假使这个Activity是用于盗号的伪装Activity呢?在Android系统当中,程序可以枚举当前运行的进程而不需要声明其他权限,这样子我们就可以写一个程序,启动一个后台的服务,这个服务不断地扫描当前运行的进程,当发现目标进程启动时,就启动一个伪装的Activity。如果这个Activity是登录界面,那么就可以从中获取用户的账号密码。
常见的攻击手段
监听系统Logocat日志,一旦监听到发生Activity界面切换行为,即进行攻击,覆盖上假冒Activity界面实施欺骗。开发者通常都知道,系统的Logcat日志会由ActivityManagerService打印出包含了界面信息的日志文件,恶意程序就是通过Logocat获取这些信息,从而监控客户端的启动、Activity界面的切换。
监听系统API,一旦恶意程序监听到相关界面的API组件调用,即可发起攻击。
- 逆向APK,恶意攻击者通过反编译和逆向分析APK,了解应用的业务逻辑之后针对性的进行Activity界面劫持攻击
Activity组件已知产生的安全问题
- 恶意盗取用户账号、卡号、密码等信息
- 利用假冒界面进行钓鱼欺诈
乌云网漏洞报告实例
android利用悬浮窗口实现界面劫持钓鱼盗号
建设银行android客户端设计逻辑缺陷导致用户被钓鱼
研发人员该如何预防 针对用户
Android手机均有一个HOME键(即小房子的那个图标),长按可以查看到近期任务。用户在要输入密码进行登录时,可以通过长按HOME键查看近期任务,比如说登录微信时长按发现近期任务出现了微信,那么我现在的这个登录界面就极有可能是一个恶意伪装的Activity,切换到另一个程序,再查看近期任务,就可以知道这个登录界面是来源于哪个程序了。
针对开发人员
研发人员通常的做法是,在登录窗口或者用户隐私输入等关键Activity的onPause方法中检测最前端Activity应用是不是自身或者是系统应用,如果发现恶意风险,则给用户一些警示信息,提示用户其登陆界面以被覆盖,并给出覆盖正常Activity的类名。
下面参考网友分享,给出一个研发人员常用的activity界面劫持防范措施代码:
首先,在前正常的登录Activity界面中重写onKeyDown方法和onPause方法,这样一来,当其被覆盖时,就能够弹出警示信息,代码如下:
- 1 @Override
- 2 public boolean onKeyDown(int keyCode, KeyEvent event) {
- 3 //判断程序进入后台是否是用户自身造成的(触摸返回键或HOME键),是则无需弹出警示。
- 4 if((keyCode==KeyEvent.KEYCODE_BACK || keyCode==KeyEvent.KEYCODE_HOME) && event.getRepeatCount()==0){
- 5 needAlarm = false;
- 6 }
- 7 return super.onKeyDown(keyCode, event);
- 8 }
- 9
- 10 @Override
- 11 protected void onPause() {
- 12 //若程序进入后台不是用户自身造成的,则需要弹出警示
- 13 if(needAlarm) {
- 14 //弹出警示信息
- 15 Toast.makeText(getApplicationContext(), "您的登陆界面被覆盖,请确认登陆环境是否安全", Toast.LENGTH_SHORT).show();
- 16 //启动我们的AlarmService,用于给出覆盖了正常Activity的类名
- 17 Intent intent = new Intent(this, AlarmService.class);
- 18 startService(intent);
- 19 }
- 20 super.onPause();
- 21 }
然后实现AlarmService.java,并在在AndroidManifest.xml中注册
- 1 import android.app.ActivityManager;
- 2 import android.app.Service;
- 3 import android.content.Context;
- 4 import android.content.Intent;
- 5 import android.os.Handler;
- 6 import android.os.IBinder;
- 7 import android.widget.Toast;
- 8
- 9 public class AlarmService extends Service{
- 10
- 11 boolean isStart = false;
- 12 Handler handler = new Handler();
- 13
- 14 Runnable alarmRunnable = new Runnable() {
- 15 @Override
- 16 public void run() {
- 17 //得到ActivityManager
- 18 ActivityManager activityManager = (ActivityManager)getSystemService(Context.ACTIVITY_SERVICE);
- 19 //getRunningTasks会返回一个List,List的大小等于传入的参数。
- 20 //get(0)可获得List中的第一个元素,即栈顶的task
- 21 ActivityManager.RunningTaskInfo info = activityManager.getRunningTasks(1).get(0);
- 22 //得到当前栈顶的类名,按照需求,也可以得到完整的类名和包名
- 23 String shortClassName = info.topActivity.getShortClassName(); //类名
- 24 //完整类名
- 25 //String className = info.topActivity.getClassName();
- 26 //包名
- 27 //String packageName = info.topActivity.getPackageName();
- 28 Toast.makeText(getApplicationContext(), "当前运行的程序为"+shortClassName, Toast.LENGTH_LONG).show();
- 29 }
- 30 };
- 31 @Override
- 32 public int onStartCommand(Intent intent, int flag, int startId) {
- 33 super.onStartCommand(intent, flag, startId);
- 34 if(!isStart) {
- 35 isStart = true;
- 36 //启动alarmRunnable
- 37 handler.postDelayed(alarmRunnable, 1000);
- 38 stopSelf();
- 39 }
- 40 return START_STICKY;
- 41 }
- 42 @Override
- 43 public IBinder onBind(Intent intent) {
- 44 return null;
- 45 }
- 46 }
山东大明消毒科技有限公司
