Android Deep Link 攻击面解析：风险与防御策略

引言

Android Deep Link（深度链接）是一种允许应用直接跳转到特定页面或功能的机制，通过URI（统一资源标识符）实现应用间的无缝导航。这一技术极大提升了用户体验，但同时也引入了潜在的安全风险。本文将系统分析Android Deep Link的攻击面，探讨攻击者可能利用的漏洞，并提供实用的防御策略。

Deep Link 机制概述

Deep Link的核心是通过URI模式匹配将外部请求路由到应用内的特定组件（如Activity）。开发者需在AndroidManifest.xml中声明<intent-filter>，定义支持的URI模式。例如：

<activity android:name=".DeepLinkActivity">
    <intent-filter>
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
        <category android:name="android.intent.category.BROWSABLE" />
        <data android:scheme="https" android:host="example.com" android:pathPrefix="/profile" />
    </intent-filter>
</activity>

此配置允许应用处理形如https://example.com/profile/{userId}的链接。

攻击面分析

1. URI模式过度宽松

风险：若URI模式定义过于宽泛（如使用通配符*），攻击者可能构造恶意链接触发非预期行为。例如：

<data android:scheme="myapp" android:host="*" />

此类配置允许任意主机，攻击者可伪造myapp://attacker.com/malicious链接。

防御建议：

• 严格限制scheme、host和path
• 使用android:pathPattern替代通配符
• 示例：<data android:scheme="myapp" android:host="example.com" android:path="/safe/path" />

2. 未验证的Intent数据

风险：直接使用Intent中的未经验证数据可能导致注入攻击。例如：

// 危险示例：直接使用URI参数
String userId = getIntent().getData().getQueryParameter("id");
// 未验证userId直接用于数据库查询

攻击者可构造myapp://example.com/profile?id=123' OR '1'='1进行SQL注入。

防御建议：

• 对输入参数进行白名单验证
• 使用参数化查询
• 示例：

String userId = getIntent().getData().getQueryParameter("id");
if (!userId.matches("[0-9]+")) {
    throw new SecurityException("Invalid user ID");
}
// 安全使用userId

3. 开放重定向漏洞

风险：若应用将用户重定向到Intent中的URL，可能引发开放重定向攻击。例如：

// 危险示例：直接重定向到外部URL
String url = getIntent().getData().toString();
startActivity(new Intent(Intent.ACTION_VIEW, Uri.parse(url)));

攻击者可构造myapp://example.com/redirect?url=https://phishing.com诱导用户访问恶意站点。

防御建议：

• 维护可信域名白名单
• 对重定向URL进行校验
• 示例：

String targetUrl = getIntent().getData().getQueryParameter("url");
if (isTrustedDomain(targetUrl)) {
    startActivity(new Intent(Intent.ACTION_VIEW, Uri.parse(targetUrl)));
} else {
    throw new SecurityException("Unsafe redirect");
}
private boolean isTrustedDomain(String url) {
    try {
        URI uri = new URI(url);
        return "trusted.com".equals(uri.getHost());
    } catch (URISyntaxException e) {
        return false;
    }
}

4. 组件暴露风险

风险：未设置android:exported="false"的组件可能被其他应用调用。例如：

<activity android:name=".VulnerableActivity" />
<!-- 未设置exported，默认true -->

攻击者可构造恶意Intent直接调用此Activity。

防御建议：

• 明确设置android:exported="false"（除非需要外部调用）
• 使用android:permission限制访问
• 示例：

<activity android:name=".SecureActivity"
    android:exported="false"
    android:permission="com.example.SECURE_PERMISSION" />

5. 深度链接劫持

风险：攻击者注册与合法应用相同的URI模式，劫持深度链接。例如，恶意应用注册：

<intent-filter>
    <action android:name="android.intent.action.VIEW" />
    <category android:name="android.intent.category.DEFAULT" />
    <category android:name="android.intent.category.BROWSABLE" />
    <data android:scheme="https" android:host="example.com" />
</intent-filter>

当用户点击https://example.com链接时，系统可能弹出应用选择器，若用户误选恶意应用，则导致劫持。

防御建议：

• 使用自定义scheme（如myapp://）替代HTTP/HTTPS
• 实现数字签名验证
• 示例：

// 验证调用者签名
PackageManager pm = getPackageManager();
String callerPackage = getCallingPackage();
if (callerPackage != null) {
    try {
        PackageInfo info = pm.getPackageInfo(callerPackage, PackageManager.GET_SIGNATURES);
        // 验证签名是否合法
        if (!isTrustedSignature(info.signatures)) {
            throw new SecurityException("Unauthorized caller");
        }
    } catch (PackageManager.NameNotFoundException e) {
        throw new SecurityException("Caller package not found");
    }
}

实际攻击案例

案例1：Twitter深度链接漏洞（CVE-2015-4491）

漏洞描述：Twitter Android应用未正确验证深度链接中的参数，导致开放重定向漏洞。攻击者可构造恶意链接：

https://twitter.com/intent/user?screen_name=victim&user_id=1234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890

通过超长user_id参数导致缓冲区溢出，引发拒绝服务攻击。

修复方案：

• 限制输入参数长度
• 实施严格的输入验证

案例2：WhatsApp深度链接劫持

漏洞描述：WhatsApp使用https://wa.me/{phone}格式的深度链接，但未验证电话号码格式。攻击者可构造：

https://wa.me//../../../../etc/passwd

在部分设备上导致路径遍历攻击。

修复方案：

• 规范化URI路径
• 实施严格的电话号码格式验证

最佳实践建议

1. 安全配置检查清单

• 为所有深度链接组件设置android:exported="false"（除非必要）
• 使用自定义scheme（如myapp://）替代HTTP/HTTPS
• 为公开的深度链接组件定义权限
• 在AndroidManifest.xml中添加<intent-filter>时进行安全评审

2. 输入验证框架

实现统一的输入验证工具类：

public class DeepLinkValidator {
    public static void validateUserId(String userId) throws SecurityException {
        if (userId == null || !userId.matches("[0-9]+")) {
            throw new SecurityException("Invalid user ID format");
        }
        // 额外业务规则验证
    }
    public static void validateUrl(String url, Set<String> allowedDomains) throws SecurityException {
        try {
            URI uri = new URI(url);
            if (!allowedDomains.contains(uri.getHost())) {
                throw new SecurityException("Domain not allowed");
            }
        } catch (URISyntaxException e) {
            throw new SecurityException("Invalid URL format");
        }
    }
}

3. 运行时保护

使用Android的IntentFilterVerificationService验证深度链接配置：

public class MyIntentFilterVerificationService extends IntentFilterVerificationService {
    @Override
    public void onVerifyIntentFilter(int requestId, InputStream verificationFile, List<String> requiredDomains) {
        // 实现自定义验证逻辑
        try (BufferedReader reader = new BufferedReader(new InputStreamReader(verificationFile))) {
            String line;
            while ((line = reader.readLine()) != null) {
                // 验证每一行配置
                if (!isValidIntentFilterLine(line)) {
                    sendBroadcast(new Intent("com.example.VERIFICATION_FAILED"));
                    return;
                }
            }
            approveVerification(requestId, "example.com");
        } catch (IOException e) {
            rejectVerification(requestId);
        }
    }
    private boolean isValidIntentFilterLine(String line) {
        // 实现具体的验证逻辑
        return true;
    }
}

结论

Android Deep Link技术为应用互联提供了强大能力，但必须谨慎实现以避免安全漏洞。开发者应：

1. 严格限制URI模式范围
2. 实施全面的输入验证
3. 防止开放重定向
4. 保护组件免受未授权访问
5. 防范深度链接劫持

通过遵循这些最佳实践，可以显著降低深度链接相关的安全风险，构建更安全的移动应用生态。建议定期进行安全审计，并关注Android官方安全公告，及时修复已知漏洞。