Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Android Activity Hijacking", Евгений Блашко, ...

OWASP Moscow
December 04, 2017
Technology
0
210

"Android Activity Hijacking", Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Технологии»)

OWASP Russia Meetup #6

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
420
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
600
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
850
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
560
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
470
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
540
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
530
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
470
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
460

Other Decks in Technology

See All in Technology
Platform Engineering for Software Developers and Architects
syntasso
1
510
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
Taming you application's environments
salaboy
0
180
Can We Measure Developer Productivity?
ewolff
1
150
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
3
490
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.6k
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
290
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
510
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Documentation Writing (for coders)
carmenintech
65
4.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Six Lessons from altMBA
skipperchong
27
3.5k
Adopting Sorbet at Scale
ufuk
73
9.1k
How GitHub (no longer) Works
holman
310
140k
A designer walks into a library…
pauljervisheath
203
24k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
The Invisible Side of Design
smashingmag
298
50k

Transcript

  1. Android Task hijacking Евгений Блашко Шабалин Юрий Отдел Тестирования Информационной

    Безопасности приложений «Сбербанк Технологии»

  2. whoami • Евгений Блашко ВТБ24, 2A-Софт - Разработка мобильных приложений

    - Анализ мобильных приложений • Юрий Шабалин Positive Technologies, Альфа-банк – Внедрение процесса SDLC, анализ кода – Анализ мобильных приложений – разработка ПО

  3. Предыстория • USENIX Security Symposium 2015, Towards Discovering and Understanding

    Task Hijacking in Android В ходе исследования и выявились дополнительные возможности…

  4. Многозадачность не как у всех Как у всех: • Процессная

    многозадачность • Поточная многозадачность Свои особенности: • Задача – это коллекция Activity • Одна Activity в разных задачах • В одной задаче Activity из разных приложений Why? • Переключение между сценариями использования • Сохранение состояния • Создание иллюзии работы в одном приложении

  5. «Монетизируем» многозадачность

  6. Немного теории..

  7. Немного теории..

  8. Стандартное поведение

  9. Стандартное поведение

  10. Что такое taskAffinity

  11. Как работает taskAffinity

  12. Magic

  13. Task hijacking

  14. Hijacking state transition #1 Развитие Activity Hijacking

  15. Пример

  16. Hijacking state transition #2 Возврат к “исходному” приложению

  17. Пример из демо Press Intro Press Back

  18. Hijacking state transition #3 Заменяем любое приложение малварью

  19. Пример из демо Press Фото

  20. Hijacking state transition #4 Редкий случай

  21. Hijacking state transition #5 Весьма вероятный случай

  22. Пример из демо Press Фото

  23. - Моё приложение уязвимо? - Да. Vulnerability % of apps

    Send implicit intent for exported activities 93,9 Send implicit intent for exported activities and use intent FLAG_ACTIVITY_NEW_TASK 65,5 Contains public exported activity and launchMode=“singleTask” 14,2 Contains public exported activity and allowTaskReparenting=“true” 1,4

  24. Что следует учитывать • Don’t specify taskAffinity • Don’t specify

    launchMode • Don’t specify allowReparenting • Don’t set FLAG_ACTIVITY_NEW_TASK • Use explicit Intents if the destination Activity is predetermined • Verify the destination Activity if linking with another application • Internal activities must be private

  25. А ты установил «калькулятор для бухгалтера»?

  26. Questions?

  27. Telegram: @R1p4eg Mail: [email protected] Mail: [email protected] Telegram: @jd7drw