Android常见漏洞介绍(1):Intent Scheme URL 攻击

Android 为了增强用户体验,允许网页通过浏览器启动其他App。

Intent scheme URL可以被web page用来启动某些组件,从而导致安全威胁。例如在网页中嵌入下面的intent scheme URL:

 href="intent://scan/#Intent;scheme=zxing;package=com.google.zxing.client.android;end"> Take a QR code 

可以调用设备上的com.google.zxing.client.android,扫描二维码。

 

一个好的浏览器都设置filter,对intent scheme URL生成的intent进行处理,防止不当行为。但是部分小众浏览器对filter配置不当,可能导致过滤失败。

例如qq浏览器:

http://www.wooyun.org/bugs/wooyun-2014-073875

 

 我做了一个简单的PPT介绍:

http://files.cnblogs.com/files/yulele/schemeIntentURL.pdf

转载于:https://www.cnblogs.com/yulele/p/4266668.html

你可能感兴趣的:(Android常见漏洞介绍(1):Intent Scheme URL 攻击)