Android静态安全检测 -> Intent Scheme URL 漏洞

Intent Scheme URL 漏洞 - parseUri方法

---

一、Intent scheme URL的解析及过滤

1. 利用 Intent.parseUri 解析uri，获取原始的intent对象

2. 对intent对象设置过滤规则，不同的浏览器有不同的策略

3. 通过Context.startActivityIfNeeded或者Context.startActivity发送intent

4. 其中，步骤2起关键作用，过滤规则缺失或者存在缺陷都会导致Intent Schem URL攻击

二、触发条件

1. Intent.parseUri()

【1】对应到smali中的特征：Landroid/content/Intent;->parseUri(

【2】缺失过滤规则：

  Intent.addCategory("android.intent.category.BROWSABLE")

  Intent.setComponent(null)

  Intent.setSelector(null)

三、漏洞原理

【1】如果浏览器支持Intent Scheme Uri语法，如果过滤不当，那么恶意用户可能通过浏览器js代码进行一些恶意行为，比如盗取cookie等。如果使用了Intent.parseUri函数，获取的intent必须严格过滤，intent至少包含addCategory(“android.intent.category.BROWSABLE”)，setComponent(null)，setSelector(null)3个策略

【2】详细的原理&POC，参考链接：

Android Intent Scheme URLs攻击

http://wolfeye.baidu.com/blog/intent-scheme-url/

http://drops.wooyun.org/papers/2893

四、修复建议