Android应用安全开发之浅谈网页打开APP

1、网页打开APP简介

Android有一个特性，能够经过点击网页内的某个连接打开APP，或者在其余APP中经过点击某个连接打开另一个APP（AppLink），一些用户量比较大的APP，已经经过发布其AppLink SDK，开发者须要申请相应的资格，配置相关内容才能使用。这些都是经过用户自定义的URI scheme实现的，不过背后仍是Android的Intent机制。Google的官方文档《Android Intents with Chrome》一文，介绍了在Android Chrome浏览器中网页打开APP的两种方法，一种是用户自定义的URI scheme（Custom URI scheme），另外一种是“intent:”语法（Intent-based URI）。

 

第一种用户自定义的URI scheme形式以下：

 

第二种的Intent-based URI的语法形式以下：

由于第二种形式大致是第一种形式的特例，因此不少文章又将第二种形式叫Intent Scheme URL，可是在Google的官方文档并无这样的说法。

 

注意：使用Custom URI scheme给APP传递数据，只能使用相关参数来传递数据，不能想固然的使用scheme://host#intent;参数;end的形式来构造传给APP的intent数据。详见3.1节的说明。

此外，还必须在APP的Androidmanifest文件中配置相关的选项才能产生网页打开APP的效果，具体在下面讲。

 

2、Custom Scheme URI打开APP

2.1 基本用法

需求：使用网页打开一个APP，并经过URL的参数给APP传递一些数据。 

如自定义的Scheme为：

注意： uri要用UTF-8编码和URI编码。

 

网页端的写法以下：

 

APP端接收来自网页信息的Activity，要在Androidmanifest.xml文件中Activity的intent-filter中声明相应action、category和data的scheme等。 

如在MainActivity中接收从网页来的信息，其在AndroidManifest.xml中的内容以下：

 

在MainActivity中接收intent而且获取相应参数的代码：

另外还有如下几个API来获取相关信息： 

getIntent().getScheme(); //得到Scheme名称 

getIntent().getDataString(); //得到Uri所有路径 

getIntent().getHost(); //得到host

 

2.2 风险示例

常见的用法是在APP获取到来自网页的数据后，从新生成一个intent，而后发送给别的组件使用这些数据。好比使用Webview相关的Activity来加载一个来自网页的url，若是此url来自url scheme中的参数，如：jaq://jaq.alibaba.com?load_url=http://www.taobao.com。

 

若是在APP中，没有检查获取到的load_url的值，攻击者能够构造钓鱼网站，诱导用户点击加载，就能够盗取用户信息。

 

接2.1的示例，新建一个WebviewActivity组件，从intent里面获取load_url，而后使用Webview加载url：

 

修改MainActivity组件，从网页端的URL中获取load_url参数的值，生成新的intent，并传给WebviewActivity：

 

网页端：

 

钓鱼页面：

 

点击“打开钓鱼网站”，进入APP，而且APP加载了钓鱼网站：

 

本例建议： 

在Webview加载load_url时，结合APP的自身业务采用白名单机制过滤网页端传过来的数据，黑名单容易被绕过。

 

2.3 阿里聚安全对开发者建议

一、APP中任何接收外部输入数据的地方都是潜在的攻击点，过滤检查来自网页的参数。

 

二、不要经过网页传输敏感信息，有的网站为了引导已经登陆的用户到APP上使用，会使用脚本动态的生成URL Scheme的参数，其中包括了用户名、密码或者登陆态token等敏感信息，让用户打开APP直接就登陆了。恶意应用也能够注册相同的URL Sechme来截取这些敏感信息。Android系统会让用户选择使用哪一个应用打开连接，可是若是用户不注意，就会使用恶意应用打开，致使敏感信息泄露或者其余风险。

 

3、Intent-based URI打开APP

3.1基本用法

Intent-based URI语法：

 

注意：第二个Intent的第一个字母必定要大写，否则不会成功调用APP。

 

如何正确快速的构造网页端的intent？ 

能够先建个Android demo app，按正常的方法构造本身想打开某个组件的Intent对象，而后使用Intent的toUri()方法，会获得Intent对象的Uri字符串表示，而且已经用UTF-8和Uri编码好，直接复制放到网页端便可，切记前面要加上“intent:”。 

 

如：

 

结果：

S.load_url是跟的是intent对象的putExtra()方法中的数据。其余类型的数据能够一个个试。若是在demo中的Intent对象不能传递给目标APP的Activity或其余组件，则其Uri形式放在网页端也不可能打开APP的，这样写个demo容易排查错误。

 

APP端中的Androidmanifest.xml的声明写法同2.1节中的APP端写法彻底同样。对于接收到的uri形式的intent，通常使用Intent的parseUri()方法来解析产生新的intent对象，若是处理不当会产生Intent Scheme URL攻击。

 

为什么不能用scheme://host#intent;参数;end的形式来构造传给APP的intent数据？ 

这种形式的intent不会直接被Android正确解析为intent，整个scheme字符串数据可使用Intent的getDataSting()方法获取到。 

如对于：

 

在APP中获取数据：

 

结果是：

 

由上图可知Android系统自动为Custom URI scheme添加了默认的intent。 

 

要想正确的解析，还需使用Intent的parseUri()方法对getDataString()获取到的数据进行解析，如：

 

3.2 风险示例

关于Intent-based URI的风险我以为《Android Intent Scheme URLs攻击》和《Intent Scheme URL attack》这两篇文章写的很是好，基本把该说的都都说了，我就很少说了，你们看这两篇文章吧。

 

3.3 阿里聚安全对开发者建议

上面两篇文章中都给出了安全使用Intent Scheme URL的方法：

 

除了以上的作法，仍是不要信任来自网页端的任何intent，为了安全起见，使用网页传过来的intent时，仍是要进行过滤和检查。

 

4、参考

[1] Android Intents with Chrome，https://developer.chrome.com/multidevice/android/intents 

[2] Intent scheme URL attack，http://drops.wooyun.org/papers/2893 

[3] Android Appliaction Secure Design/Secure Coding Guidebook，http://www.jssec.org/dl/android_securecoding_en.pdf 

[4] Handling App Links，http://developer.android.com/intl/zh-cn/training/app-links/index.html 

[5] Android M App Links: 实现, 缺陷以及解决办法，http://www.jcodecraeer.com/a/anzhuokaifa/androidkaifa/2015/0718/3200.html 

[6] Android Intent Scheme URLs攻击，http://blog.csdn.net/l173864930/article/details/36951805

 

做者：伊樵，呆狐，舟海@阿里移动安全，更多技术文章，请点击阿里聚安全博客