什麽是Activity劫持

簡單的說就是APP正常的Activity界面被惡意攻擊者替換上仿冒的惡意Activity界面進行攻擊和非法用途。界面劫持攻擊通常難被識別出來，其造成的後果不僅會給用戶帶來嚴重損失，更是移動應用開發者們的惡夢。舉個例子來說，當用戶打開安卓手機上的某一應用，進入到登陸頁面，這時，惡意軟件偵測到用戶的這一動作，立即彈出一個與該應用界面相同的Activity，覆蓋掉了合法的Activity，用戶幾乎無法察覺，該用戶接下來輸入用戶名和密碼的操作其實是在惡意軟件的Activity上進行的，最終會發生什麽就可想而知了。

Activity界面被劫持的原因

很多網友發現，如果在啟動一個Activity時，給它加入一個標誌位FLAG_ACTIVITY_NEW_TASK，就能使它置於棧頂並立馬呈現給用戶。針對這一操作，假使這個Activity是用於盜號的偽裝Activity呢？在Android系統當中，程序可以枚舉當前運行的進程而不需要聲明其他權限，這樣子我們就可以寫一個程序，啟動一個後臺的服務，這個服務不斷地掃描當前運行的進程，當發現目標進程啟動時，就啟動一個偽裝的Activity。如果這個Activity是登錄界面，那麽就可以從中獲取用戶的賬號密碼。

常見的攻擊手段

• 監聽系統Logocat日誌，一旦監聽到發生Activity界面切換行為，即進行攻擊，覆蓋上假冒Activity界面實施欺騙。開發者通常都知道，系統的Logcat日誌會由ActivityManagerService打印出包含了界面信息的日誌文件，惡意程序就是通過Logocat獲取這些信息，從而監控客戶端的啟動、Activity界面的切換。

• 監聽系統API，一旦惡意程序監聽到相關界面的API組件調用，即可發起攻擊。

• 逆向APK，惡意攻擊者通過反編譯和逆向分析APK，了解應用的業務邏輯之後針對性的進行Activity界面劫持攻擊

Activity組件已知產生的安全問題

1. 惡意盜取用戶賬號、卡號、密碼等信息
2. 利用假冒界面進行釣魚欺詐

烏雲網漏洞報告實例

android利用懸浮窗口實現界面劫持釣魚盜號

建設銀行android客戶端設計邏輯缺陷導致用戶被釣魚

研發人員該如何預防

針對用戶

Android手機均有一個HOME鍵（即小房子的那個圖標），長按可以查看到近期任務。用戶在要輸入密碼進行登錄時，可以通過長按HOME鍵查看近期任務，比如說登錄微信時長按發現近期任務出現了微信，那麽我現在的這個登錄界面就極有可能是一個惡意偽裝的Activity，切換到另一個程序，再查看近期任務，就可以知道這個登錄界面是來源於哪個程序了。

針對開發人員

研發人員通常的做法是，在登錄窗口或者用戶隱私輸入等關鍵Activity的onPause方法中檢測最前端Activity應用是不是自身或者是系統應用，如果發現惡意風險，則給用戶一些警示信息，提示用戶其登陸界面以被覆蓋，並給出覆蓋正常Activity的類名。

下面參考網友分享，給出一個研發人員常用的activity界面劫持防範措施代碼：

首先，在前正常的登錄Activity界面中重寫onKeyDown方法和onPause方法，這樣一來，當其被覆蓋時，就能夠彈出警示信息，代碼如下：

 1 @Override
 2     public boolean onKeyDown(int keyCode, KeyEvent event) {
 3         //判斷程序進入後臺是否是用戶自身造成的（觸摸返回鍵或HOME鍵），是則無需彈出警示。
 4         if((keyCode==KeyEvent.KEYCODE_BACK || keyCode==KeyEvent.KEYCODE_HOME) && event.getRepeatCount()==0){
 5             needAlarm = false;
 6         }
 7         return super.onKeyDown(keyCode, event);
 8     }
 9 
10     @Override
11     protected void onPause() {
12        //若程序進入後臺不是用戶自身造成的，則需要彈出警示
13         if(needAlarm) {
14             //彈出警示信息
15             Toast.makeText(getApplicationContext(), "您的登陸界面被覆蓋，請確認登陸環境是否安全", Toast.LENGTH_SHORT).show();
16             //啟動我們的AlarmService,用於給出覆蓋了正常Activity的類名
17             Intent intent = new Intent(this, AlarmService.class);
18             startService(intent);
19         }
20         super.onPause();
21     }

然後實現AlarmService.java，並在在AndroidManifest.xml中註冊

 1 import android.app.ActivityManager;
 2 import android.app.Service;
 3 import android.content.Context;
 4 import android.content.Intent;
 5 import android.os.Handler;
 6 import android.os.IBinder;
 7 import android.widget.Toast;
 8 
 9 public class AlarmService extends Service{
10 
11     boolean isStart = false;
12     Handler handler = new Handler();
13 
14     Runnable alarmRunnable = new Runnable() {
15         @Override
16         public void run() {
17             //得到ActivityManager
18             ActivityManager activityManager = (ActivityManager)getSystemService(Context.ACTIVITY_SERVICE);
19             //getRunningTasks會返回一個List，List的大小等於傳入的參數。
20             //get(0)可獲得List中的第一個元素，即棧頂的task
21             ActivityManager.RunningTaskInfo info = activityManager.getRunningTasks(1).get(0);
22             //得到當前棧頂的類名，按照需求，也可以得到完整的類名和包名
23             String shortClassName = info.topActivity.getShortClassName(); //類名
24             //完整類名
25             //String className = info.topActivity.getClassName();
26             //包名
27             //String packageName = info.topActivity.getPackageName();
28             Toast.makeText(getApplicationContext(), "當前運行的程序為"+shortClassName, Toast.LENGTH_LONG).show();
29         }
30     };
31     @Override
32     public int onStartCommand(Intent intent, int flag, int startId) {
33         super.onStartCommand(intent, flag, startId);
34         if(!isStart) {
35             isStart = true;
36             //啟動alarmRunnable
37             handler.postDelayed(alarmRunnable, 1000);
38             stopSelf();
39         }
40         return START_STICKY;
41     }
42     @Override
43     public IBinder onBind(Intent intent) {
44         return null;
45     }
46 }

Activity組件安全（下）