Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Android Activity Hijacking", Евгений Блашко, ...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for OWASP Moscow OWASP Moscow
December 04, 2017
Technology
0
240

"Android Activity Hijacking", Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Технологии»)

OWASP Russia Meetup #6

Avatar for OWASP Moscow

OWASP Moscow

December 04, 2017
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
600
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
710
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
970
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
710
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
580
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
630
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
630
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
580
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
570

Other Decks in Technology

See All in Technology
生成AIを活用した音声文字起こしシステムの2つの構築パターンについて
Avatar for Kazuki Miura miu_crescent
PRO
3
230
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
Avatar for Kuniaki Moriya zepprix
0
480
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
520
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
1
2.1k
OCI Database Management サービス詳細
Avatar for oracle4engineer oracle4engineer
PRO
1
7.4k
Cloud Runでコロプラが挑む 生成AI×ゲーム『神魔狩りのツクヨミ』の裏側
Avatar for COLOPL Inc. colopl
0
150
コンテナセキュリティの最新事情 ~ 2026年版 ~
Avatar for Kyohei Mizumoto kyohmizu
7
2.4k
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
210
(技術的には)社内システムもOKなブラウザエージェントを作ってみた!
Avatar for Har1101 har1101
0
330
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
Avatar for 高棹大樹 daitak
1
390
Bill One急成長の舞台裏 開発組織が直面した失敗と教訓
Avatar for SansanTech sansantech
PRO
2
410
Webhook best practices for rock solid and resilient deployments
Avatar for Guillaume Laforge glaforge
2
310

Featured

See All Featured
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
170
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
420
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
470
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
280
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
170
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
53
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
830
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
120
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
0
240
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
5
35k

Transcript

  1. Android Task hijacking Евгений Блашко Шабалин Юрий Отдел Тестирования Информационной

    Безопасности приложений «Сбербанк Технологии»

  2. whoami • Евгений Блашко ВТБ24, 2A-Софт - Разработка мобильных приложений

    - Анализ мобильных приложений • Юрий Шабалин Positive Technologies, Альфа-банк – Внедрение процесса SDLC, анализ кода – Анализ мобильных приложений – разработка ПО

  3. Предыстория • USENIX Security Symposium 2015, Towards Discovering and Understanding

    Task Hijacking in Android В ходе исследования и выявились дополнительные возможности…

  4. Многозадачность не как у всех Как у всех: • Процессная

    многозадачность • Поточная многозадачность Свои особенности: • Задача – это коллекция Activity • Одна Activity в разных задачах • В одной задаче Activity из разных приложений Why? • Переключение между сценариями использования • Сохранение состояния • Создание иллюзии работы в одном приложении

  5. «Монетизируем» многозадачность

  6. Немного теории..

  7. Немного теории..

  8. Стандартное поведение

  9. Стандартное поведение

  10. Что такое taskAffinity

  11. Как работает taskAffinity

  12. Magic

  13. Task hijacking

  14. Hijacking state transition #1 Развитие Activity Hijacking

  15. Пример

  16. Hijacking state transition #2 Возврат к “исходному” приложению

  17. Пример из демо Press Intro Press Back

  18. Hijacking state transition #3 Заменяем любое приложение малварью

  19. Пример из демо Press Фото

  20. Hijacking state transition #4 Редкий случай

  21. Hijacking state transition #5 Весьма вероятный случай

  22. Пример из демо Press Фото

  23. - Моё приложение уязвимо? - Да. Vulnerability % of apps

    Send implicit intent for exported activities 93,9 Send implicit intent for exported activities and use intent FLAG_ACTIVITY_NEW_TASK 65,5 Contains public exported activity and launchMode=“singleTask” 14,2 Contains public exported activity and allowTaskReparenting=“true” 1,4

  24. Что следует учитывать • Don’t specify taskAffinity • Don’t specify

    launchMode • Don’t specify allowReparenting • Don’t set FLAG_ACTIVITY_NEW_TASK • Use explicit Intents if the destination Activity is predetermined • Verify the destination Activity if linking with another application • Internal activities must be private

  25. А ты установил «калькулятор для бухгалтера»?

  26. Questions?

  27. Telegram: @R1p4eg Mail: [email protected] Mail: [email protected] Telegram: @jd7drw