Android常见漏洞介绍（1）:Intent Scheme URL 攻击

Android 为了增强用户体验，允许网页通过浏览器启动其他App。

Intent scheme URL可以被web page用来启动某些组件，从而导致安全威胁。例如在网页中嵌入下面的intent scheme URL：

 href="intent://scan/#Intent;scheme=zxing;package=com.google.zxing.client.android;end"> Take a QR code 

可以调用设备上的com.google.zxing.client.android，扫描二维码。

 

一个好的浏览器都设置filter，对intent scheme URL生成的intent进行处理，防止不当行为。但是部分小众浏览器对filter配置不当，可能导致过滤失败。

例如qq浏览器：

http://www.wooyun.org/bugs/wooyun-2014-073875

 

 我做了一个简单的PPT介绍：

http://files.cnblogs.com/files/yulele/schemeIntentURL.pdf

转载于:https://www.cnblogs.com/yulele/p/4266668.html