APP漏洞利用组合拳——应用克隆案例分析

在工作中遇到了一次Android应用克隆漏洞的案例，由于攻击过程非常有趣，综合利用了多个中低风险漏洞，产生了化腐朽为神奇的攻击效果。在此分享给大家，以扩展渗透测试思路。

二、漏洞详情

1. 漏洞介绍

攻击者可通过散布恶意构造的HTML文件，来窃取受害者的个人信息。一旦受害者打开该文件，受害者的姓名、手机号、身份证号、交易记录等敏感信息将会被窃取。

经分析，该APP可被利用的漏洞如表2.1所示。

表2.1 APP可被利用的漏洞

2. 漏洞攻击步骤描述

受害者打开APP，正常登录。

回到主页面，APP 切换至后台运行。

受害者访问攻击者发布的恶意链接，访问恶意HTML文件。

访问恶意HTML文件后，屏幕先显示APP页面，然后跳转至空白页面。

之后攻击者在服务器端获取账户信息、交易记录等敏感信息。

大致流程如图2.1所示。

图2.1 漏洞攻击流程

三、应用克隆漏洞案例分析

1. Deeplink启动APP

Deeplink简单来说就是让APP开发者能够链接到应用内特定的页面，通过Deeplink可以直接从广告到达商品，移动应用开发者可以再现网页端的体验。而判断一个APP程序有没有使用Deeplink，最简单的方法就是通过反编译APP，在AndroidManifest.xml文件中搜索关键字“android:scheme=”。

针对目标APP的分析：

反编译APP，在AndroidManifest.xml发现一个url scheme存在android.intent.category.BROWSABLE属性，可从浏览器启动。

<activity android:launchMode="singleInstance" android:name="com.xxx.router.RouterActivity" android:screenOrientation="portrait" android:theme="@style/myTransparent"> 

    <intent-filter> 

        <action android:name="android.intent.action.VIEW"/> 

        <category android:name="android.intent.category.DEFAULT"/> 

        <category android:name="android.intent.category.BROWSABLE"/> 

        <data android:scheme="mydeeplink"/> 

    </intent-filter> 

</activity> 

在反编译后的文件夹中搜索关键字mydeeplink，发现一个Deeplink：

mydeeplink://?mydeeplink={url:'/messageCenter/pages/index.html',message_type:'messagecenter'} 

经测试“mydeeplink://”可成功调用APP窗口，使用命令：

adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'/messageCenter/pages/index.html',message_type:'messagecenter'}"。 

2. Deeplink读取本地文件和JS代码执行

既然可以使用Deeplink，那么后续则可以通过Deeplink读取本地文件、执行JS代码，获取用户手机号、身份证号等敏感信息，或者获取Cookie。

漏洞分析过程：

经分析，发现目标APP针对攻击手段进行了一定的防护：

可以使用file://协议，但是被限制了目录，无法读取数据库等文件。

无法直接使用JavaScript代码:。

对请求的URL做了限制，只能请求与APP主域名相关的URL。

详细分析过程如下：

使用Payload：