Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Android Activity Hijacking", Евгений Блашко, ...

Avatar for OWASP Moscow OWASP Moscow
December 04, 2017
Technology
0
230

"Android Activity Hijacking", Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Технологии»)

OWASP Russia Meetup #6
Avatar for OWASP Moscow

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
530
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
670
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
930
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
640
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
540
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
600
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
590
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
540
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
530

Other Decks in Technology

See All in Technology
Should Our Project Join the CNCF? (Japanese Recap)
Avatar for whywaita whywaita
PRO
0
340
KubeCon + CloudNativeCon Japan 2025 Recap by CA
Avatar for YuyaKoda ponkio_o
PRO
0
300
SmartNewsにおける 1000+ノード規模 K8s基盤 でのコスト最適化 – Spot・Gravitonの大規模導入への挑戦
Avatar for ishikawa ryu vsanna2
0
140
Core Audio tapを使ったリアルタイム音声処理のお話
Avatar for Sloth yuta0306
0
190
AWS Organizations 新機能!マルチパーティ承認の紹介
Avatar for yhana yhana
1
280
ビズリーチにおけるリアーキテクティング実践事例 / JJUG CCC 2025 Spring
Avatar for Visional Engineering & Design visional_engineering_and_design
1
130
FOSS4G 2025 KANSAI QGISで点群データをいろいろしてみた
Avatar for kou_kita kou_kita
0
400
20250707-AI活用の個人差を埋めるチームづくり
Avatar for shnjtk shnjtk
4
3.9k
Backlog ユーザー棚卸しRTA、多分これが一番早いと思います
Avatar for あれ __allllllllez__
1
150
AWS認定を取る中で感じたこと
Avatar for Siromi siromi
1
190
マネジメントって難しい、けどおもしろい / Management is tough, but fun! #em_findy
Avatar for ar_tama ar_tama
7
1.1k
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
13k

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k
Scaling GitHub
Avatar for Zach Holman holman
460
140k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
95
6.1k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k

Transcript

  1. Android Task hijacking Евгений Блашко Шабалин Юрий Отдел Тестирования Информационной

    Безопасности приложений «Сбербанк Технологии»

  2. whoami • Евгений Блашко ВТБ24, 2A-Софт - Разработка мобильных приложений

    - Анализ мобильных приложений • Юрий Шабалин Positive Technologies, Альфа-банк – Внедрение процесса SDLC, анализ кода – Анализ мобильных приложений – разработка ПО

  3. Предыстория • USENIX Security Symposium 2015, Towards Discovering and Understanding

    Task Hijacking in Android В ходе исследования и выявились дополнительные возможности…

  4. Многозадачность не как у всех Как у всех: • Процессная

    многозадачность • Поточная многозадачность Свои особенности: • Задача – это коллекция Activity • Одна Activity в разных задачах • В одной задаче Activity из разных приложений Why? • Переключение между сценариями использования • Сохранение состояния • Создание иллюзии работы в одном приложении

  5. «Монетизируем» многозадачность

  6. Немного теории..

  7. Немного теории..

  8. Стандартное поведение

  9. Стандартное поведение

  10. Что такое taskAffinity

  11. Как работает taskAffinity

  12. Magic

  13. Task hijacking

  14. Hijacking state transition #1 Развитие Activity Hijacking

  15. Пример

  16. Hijacking state transition #2 Возврат к “исходному” приложению

  17. Пример из демо Press Intro Press Back

  18. Hijacking state transition #3 Заменяем любое приложение малварью

  19. Пример из демо Press Фото

  20. Hijacking state transition #4 Редкий случай

  21. Hijacking state transition #5 Весьма вероятный случай

  22. Пример из демо Press Фото

  23. - Моё приложение уязвимо? - Да. Vulnerability % of apps

    Send implicit intent for exported activities 93,9 Send implicit intent for exported activities and use intent FLAG_ACTIVITY_NEW_TASK 65,5 Contains public exported activity and launchMode=“singleTask” 14,2 Contains public exported activity and allowTaskReparenting=“true” 1,4

  24. Что следует учитывать • Don’t specify taskAffinity • Don’t specify

    launchMode • Don’t specify allowReparenting • Don’t set FLAG_ACTIVITY_NEW_TASK • Use explicit Intents if the destination Activity is predetermined • Verify the destination Activity if linking with another application • Internal activities must be private

  25. А ты установил «калькулятор для бухгалтера»?

  26. Questions?

  27. Telegram: @R1p4eg Mail: [email protected] Mail: [email protected] Telegram: @jd7drw