Android應用安全開發之淺談網頁打開APP

一、網頁打開APP簡介

Android有一個特性，可以通過點擊網頁內的某個鏈接打開APP，或者在其他APP中通過點擊某個鏈接打開另外一個APP（AppLink），一些用戶量比較大的APP，已經通過發布其AppLink SDK，開發者需要申請相應的資格，配置相關內容才能使用。這些都是通過用戶自定義的URI scheme實現的，不過背後還是Android的Intent機製。Google的官方文檔《Android Intents with Chrome》一文，介紹了在Android Chrome瀏覽器中網頁打開APP的兩種方法，一種是用戶自定義的URI scheme（Custom URI scheme），另一種是“intent:”語法（Intent-based URI）。

第一種用戶自定義的URI scheme形式如下：

第二種的Intent-based URI的語法形式如下：

因為第二種形式大體是第一種形式的特例，所以很多文章又將第二種形式叫Intent Scheme URL，但是在Google的官方文檔並沒有這樣的說法。

注意：使用Custom URI scheme給APP傳遞數據，隻能使用相關參數來傳遞數據，不能想當然的使用scheme://host#intent;參數;end的形式來構造傳給APP的intent數據。詳見3.1節的說明。

此外，還必須在APP的Androidmanifest文件中配置相關的選項才能產生網頁打開APP的效果，具體在下麵講。

二、Custom Scheme URI打開APP

2.1 基本用法

需求：使用網頁打開一個APP，並通過URL的參數給APP傳遞一些數據。

如自定義的Scheme為：

注意： uri要用UTF-8編碼和URI編碼。

網頁端的寫法如下：

APP端接收來自網頁信息的Activity，要在Androidmanifest.xml文件中Activity的intent-filter中聲明相應action、category和data的scheme等。

如在MainActivity中接收從網頁來的信息，其在AndroidManifest.xml中的內容如下：

在MainActivity中接收intent並且獲取相應參數的代碼：

另外還有以下幾個API來獲取相關信息：

getIntent().getScheme(); //獲得Scheme名稱

getIntent().getDataString(); //獲得Uri全部路徑

getIntent().getHost(); //獲得host

2.2 風險示例

常見的用法是在APP獲取到來自網頁的數據後，重新生成一個intent，然後發送給別的組件使用這些數據。比如使用Webview相關的Activity來加載一個來自網頁的url，如果此url來自url scheme中的參數，如：jaq://jaq.alibaba.com?load_url=https://www.taobao.com。

如果在APP中，沒有檢查獲取到的load_url的值，攻擊者可以構造釣魚網站，誘導用戶點擊加載，就可以盜取用戶信息。

接2.1的示例，新建一個WebviewActivity組件，從intent裏麵獲取load_url，然後使用Webview加載url：

修改MainActivity組件，從網頁端的URL中獲取load_url參數的值，生成新的intent，並傳給WebviewActivity：

網頁端：

釣魚頁麵：

點擊“打開釣魚網站”，進入APP，並且APP加載了釣魚網站：

本例建議：

在Webview加載load_url時，結合APP的自身業務采用白名單機製過濾網頁端傳過來的數據，黑名單容易被繞過。

2.3 阿裏聚安全對開發者建議

1、APP中任何接收外部輸入數據的地方都是潛在的攻擊點，過濾檢查來自網頁的參數。

2、不要通過網頁傳輸敏感信息，有的網站為了引導已經登錄的用戶到APP上使用，會使用腳本動態的生成URL Scheme的參數，其中包括了用戶名、密碼或者登錄態token等敏感信息，讓用戶打開APP直接就登錄了。惡意應用也可以注冊相同的URL Sechme來截取這些敏感信息。Android係統會讓用戶選擇使用哪個應用打開鏈接，但是如果用戶不注意，就會使用惡意應用打開，導致敏感信息泄露或者其他風險。