Android研发安全2-Activity组件安全（下） _Activity

曾无好事来相访，赖尔高文一起予。这篇文章主要讲述Android研发安全2-Activity组件安全（下）相关的知识，希望能为你提供帮助。
这篇文章是android研发安全之Activity组件安全第二篇，本文将给大家分享Activity界面劫持方面的预防知识。
什么是Activity劫持【Android研发安全2-Activity组件安全（下）】 简单的说就是APP正常的Activity界面被恶意攻击者替换上仿冒的恶意Activity界面进行攻击和非法用途。界面劫持攻击通常难被识别出来，其造成的后果不仅会给用户带来严重损失，更是移动应用开发者们的恶梦。举个例子来说，当用户打开安卓手机上的某一应用，进入到登陆页面，这时，恶意软件侦测到用户的这一动作，立即弹出一个与该应用界面相同的Activity，覆盖掉了合法的Activity，用户几乎无法察觉，该用户接下来输入用户名和密码的操作其实是在恶意软件的Activity上进行的，最终会发生什么就可想而知了。
Activity界面被劫持的原因很多网友发现，如果在启动一个Activity时，给它加入一个标志位FLAG_ACTIVITY_NEW_TASK，就能使它置于栈顶并立马呈现给用户。针对这一操作，假使这个Activity是用于盗号的伪装Activity呢？在Android系统当中，程序可以枚举当前运行的进程而不需要声明其他权限，这样子我们就可以写一个程序，启动一个后台的服务，这个服务不断地扫描当前运行的进程，当发现目标进程启动时，就启动一个伪装的Activity。如果这个Activity是登录界面，那么就可以从中获取用户的账号密码。
常见的攻击手段

监听系统Logocat日志，一旦监听到发生Activity界面切换行为，即进行攻击，覆盖上假冒Activity界面实施欺骗。开发者通常都知道，系统的Logcat日志会由ActivityManagerService打印出包含了界面信息的日志文件，恶意程序就是通过Logocat获取这些信息，从而监控客户端的启动、Activity界面的切换。
监听系统API，一旦恶意程序监听到相关界面的API组件调用，即可发起攻击。
逆向APK，恶意攻击者通过反编译和逆向分析APK，了解应用的业务逻辑之后针对性的进行Activity界面劫持攻击

Activity组件已知产生的安全问题

恶意盗取用户账号、卡号、密码等信息
利用假冒界面进行钓鱼欺诈

乌云网漏洞报告实例android利用悬浮窗口实现界面劫持钓鱼盗号
建设银行android客户端设计逻辑缺陷导致用户被钓鱼
研发人员该如何预防针对用户
Android手机均有一个HOME键（即小房子的那个图标），长按可以查看到近期任务。用户在要输入密码进行登录时，可以通过长按HOME键查看近期任务，比如说登录微信时长按发现近期任务出现了微信，那么我现在的这个登录界面就极有可能是一个恶意伪装的Activity，切换到另一个程序，再查看近期任务，就可以知道这个登录界面是来源于哪个程序了。
针对开发人员
研发人员通常的做法是，在登录窗口或者用户隐私输入等关键Activity的onPause方法中检测最前端Activity应用是不是自身或者是系统应用，如果发现恶意风险，则给用户一些警示信息，提示用户其登陆界面以被覆盖，并给出覆盖正常Activity的类名。
下面参考网友分享，给出一个研发人员常用的activity界面劫持防范措施代码：
首先，在前正常的登录Activity界面中重写onKeyDown方法和onPause方法，这样一来，当其被覆盖时，就能够弹出警示信息，代码如下：

@Override public boolean onKeyDown(int keyCode, KeyEvent event) { //判断程序进入后台是否是用户自身造成的（触摸返回键或HOME键），是则无需弹出警示。 if((keyCode==KeyEvent.KEYCODE_BACK || keyCode==KeyEvent.KEYCODE_HOME) & & event.getRepeatCount()==0){ needAlarm = false; } return super.onKeyDown(keyCode, event); }@Override protected void onPause() { //若程序进入后台不是用户自身造成的，则需要弹出警示 if(needAlarm) { //弹出警示信息 Toast.makeText(getApplicationContext(), "您的登陆界面被覆盖，请确认登陆环境是否安全", Toast.LENGTH_SHORT).show(); //启动我们的AlarmService,用于给出覆盖了正常Activity的类名 Intent intent = new Intent(this, AlarmService.class); startService(intent); } super.onPause(); }

然后实现AlarmService.java，并在在AndroidManifest.xml中注册

import android.app.ActivityManager; import android.app.Service; import android.content.Context; import android.content.Intent; import android.os.Handler; import android.os.IBinder; import android.widget.Toast; public class AlarmService extends Service{boolean isStart = false; Handler handler = new Handler(); Runnable alarmRunnable = new Runnable() { @Override public void run() { //得到ActivityManager ActivityManager activityManager = (ActivityManager)getSystemService(Context.ACTIVITY_SERVICE); //getRunningTasks会返回一个List，List的大小等于传入的参数。 //get(0)可获得List中的第一个元素，即栈顶的task ActivityManager.RunningTaskInfo info = activityManager.getRunningTasks(1).get(0); //得到当前栈顶的类名，按照需求，也可以得到完整的类名和包名 String shortClassName = info.topActivity.getShortClassName(); //类名 //完整类名 //String className = info.topActivity.getClassName(); //包名 //String packageName = info.topActivity.getPackageName(); Toast.makeText(getApplicationContext(), "当前运行的程序为"+shortClassName, Toast.LENGTH_LONG).show(); } }; @Override public int onStartCommand(Intent intent, int flag, int startId) { super.onStartCommand(intent, flag, startId); if(!isStart) { isStart = true; //启动alarmRunnable handler.postDelayed(alarmRunnable, 1000); stopSelf(); } return START_STICKY; } @Override public IBinder onBind(Intent intent) { return null; } }

参考链接：
http://blog.chinaunix.net/uid-29170659-id-4930737.html