Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Android Activity Hijacking", Евгений Блашко, ...

Avatar for OWASP Moscow OWASP Moscow
December 04, 2017
Technology
0
230

"Android Activity Hijacking", Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Технологии»)

OWASP Russia Meetup #6
Avatar for OWASP Moscow

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
530
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
670
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
930
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
640
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
540
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
600
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
590
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
540
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
530

Other Decks in Technology

See All in Technology
Backlog ユーザー棚卸しRTA、多分これが一番早いと思います
Avatar for あれ __allllllllez__
1
150
Lakebaseを使ったAIエージェントを実装してみる
Avatar for camay kameitomohiro
0
130
B2C&B2B&社内向けサービスを抱える開発組織におけるサービス価値を最大化するイニシアチブ管理
Avatar for Belong inc. belongadmin
1
7.1k
Delegating the chores of authenticating users to Keycloak
Avatar for Alexander Schwartz ahus1
0
140
Should Our Project Join the CNCF? (Japanese Recap)
Avatar for whywaita whywaita
PRO
0
340
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
3
960
使いたいMCPサーバーはWeb APIをラップして自分で作る #QiitaBash
Avatar for 弁護士ドットコム bengo4com
0
1.9k
KubeCon + CloudNativeCon Japan 2025 Recap Opening & Choose Your Own Adventureシリーズまとめ
Avatar for mm-matsuda mmmatsuda
0
280
スタートアップに選択肢を 〜生成AIを活用したセカンダリー事業への挑戦〜
Avatar for Nstock nstock
0
210
改めてAWS WAFを振り返る~業務で使うためのポイント~
Avatar for モブエンジニア masakiokuda
2
260
品質と速度の両立:生成AI時代の品質保証アプローチ
Avatar for odasho odasho
1
360
american airlines®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for cassowary3740 supportflight
1
110

Featured

See All Featured
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
20k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
820
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
95
6.1k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
950
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.9k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
8
690
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
10
690

Transcript

  1. Android Task hijacking Евгений Блашко Шабалин Юрий Отдел Тестирования Информационной

    Безопасности приложений «Сбербанк Технологии»

  2. whoami • Евгений Блашко ВТБ24, 2A-Софт - Разработка мобильных приложений

    - Анализ мобильных приложений • Юрий Шабалин Positive Technologies, Альфа-банк – Внедрение процесса SDLC, анализ кода – Анализ мобильных приложений – разработка ПО

  3. Предыстория • USENIX Security Symposium 2015, Towards Discovering and Understanding

    Task Hijacking in Android В ходе исследования и выявились дополнительные возможности…

  4. Многозадачность не как у всех Как у всех: • Процессная

    многозадачность • Поточная многозадачность Свои особенности: • Задача – это коллекция Activity • Одна Activity в разных задачах • В одной задаче Activity из разных приложений Why? • Переключение между сценариями использования • Сохранение состояния • Создание иллюзии работы в одном приложении

  5. «Монетизируем» многозадачность

  6. Немного теории..

  7. Немного теории..

  8. Стандартное поведение

  9. Стандартное поведение

  10. Что такое taskAffinity

  11. Как работает taskAffinity

  12. Magic

  13. Task hijacking

  14. Hijacking state transition #1 Развитие Activity Hijacking

  15. Пример

  16. Hijacking state transition #2 Возврат к “исходному” приложению

  17. Пример из демо Press Intro Press Back

  18. Hijacking state transition #3 Заменяем любое приложение малварью

  19. Пример из демо Press Фото

  20. Hijacking state transition #4 Редкий случай

  21. Hijacking state transition #5 Весьма вероятный случай

  22. Пример из демо Press Фото

  23. - Моё приложение уязвимо? - Да. Vulnerability % of apps

    Send implicit intent for exported activities 93,9 Send implicit intent for exported activities and use intent FLAG_ACTIVITY_NEW_TASK 65,5 Contains public exported activity and launchMode=“singleTask” 14,2 Contains public exported activity and allowTaskReparenting=“true” 1,4

  24. Что следует учитывать • Don’t specify taskAffinity • Don’t specify

    launchMode • Don’t specify allowReparenting • Don’t set FLAG_ACTIVITY_NEW_TASK • Use explicit Intents if the destination Activity is predetermined • Verify the destination Activity if linking with another application • Internal activities must be private

  25. А ты установил «калькулятор для бухгалтера»?

  26. Questions?

  27. Telegram: @R1p4eg Mail: [email protected] Mail: [email protected] Telegram: @jd7drw