Android getParcelableExtra传入畸形数据导致APP崩溃Crash复现及原因分析

Crash复现

APP A

创建了一个Text类来实现Parcelable接口，然后使用getParcelableExtra直接获取intent传参。
Text如下，详细可下载apk反编译查看：

package com.example.myapplication;

import android.os.Parcel;
import android.os.Parcelable;

public class Text implements Parcelable {
    private String string = "hello,cb";

    public Text() {
        setString("hello,cb");
    }

    public Text(Parcel parcel) {
        setString(parcel.readString());
    }

    public static final Parcelable.Creator<Text> CREATOR = new Parcelable.Creator<Text>() {

        public Text createFromParcel(Parcel source) {
            return new Text(source);
        }

        public Text[] newArray(int size) {
            return new Text[size];
        }
    };

    public String getString() {
        return string;
    }

    public void setString(String string) {
        this.string = string;
    }

    public int describeContents() {
        return 0;
    }

    public void writeToParcel(Parcel dest, int flags) {
        dest.writeString(string);
    }
}

APP B

APP B用于发送intent消息给APP A

其中也创建了一个Text2来实现Parcelable接口，其中并未实现具体内容，这里不贴代码，详细可以通过jadx反编译apk即可看到。

复现现象

从上图可以看到，报错信息为
2020-04-11 21:43:50.938 7922-7922/com.example.myapplication E/Parcel: Class not found when unmarshalling: com.example.myapplication2.Text2
java.lang.ClassNotFoundException: com.example.myapplication2.Text2
at java.lang.Class.classForName(Native Method)

对于getParcelableExtra或者getSerilizableExtra相关的方法，如果没有使用try-catch捕获异常的话，都存在上述问题。

问题原因分析

当解析到Serializable对象时，由于加载不到类，抛出异常

public final Serializable readSerializable() {  
    ...  
    try {  
        ObjectInputStream ois = new ObjectInputStream(bais);  
        return (Serializable) ois.readObject();  
    } catch (IOException ioe) {  
        throw new RuntimeException("Parcelable encountered " + "IOException reading a Serializable object (name = " + name +  ")", ioe);  
    } catch (ClassNotFoundException cnfe) {  
        throw new RuntimeException("Parcelable encountered" + "ClassNotFoundException reading a Serializable object (name = " + name + ")", cnfe);  
    }  
}

链接：demo apk
提取码：hawr

参考

Android APP通用型拒绝服务漏洞分析报告
android之Parcel机制学习