Android supports seamless user experience by maintaining activities from different applications (apps) in the same activity stack. Although such close inter‐app communication is essential in the Android framework, the powerful inter‐app communication contains vulnerabilities that can inject malicious activities into a victim app's activity stack to hijack user interaction flows. In this article, we demonstrate activity injection attacks with a simple malware, and formally specify the activity activation mechanism using operational semantics. Based on the operational semantics, we develop a static analysis tool, which analyzes Android apps to detect activity injection attacks. Our tool is fast enough to analyze real‐world Android apps in 6 seconds on average, and our experiments found that 1761 apps out of 129,756 real‐world Android apps inject their activities into other apps' tasks. Moreover, we propose a defense mechanism, dubbed signature‐based activity access control (SAAC), which completely prohibits activity injection attacks. The defense mechanism is general enough to keep the current Android multitasking features intact, and it is simple enough to be independent of the complex activity activation semantics, which does not increase activity activation time noticeably. With the extension of the formal semantics for SAAC, we prove that SAAC correctly mitigates activity injection attacks without any false alarms.

中文翻译：

---

关于活动注入：威胁、语义、检测和防御

Android 通过在同一活动堆栈中维护来自不同应用程序（应用程序）的活动来支持无缝的用户体验。尽管这种密切的应用间通信在 Android 框架中是必不可少的，但强大的应用间通信包含一些漏洞，这些漏洞可以将恶意活动注入受害应用的活动堆栈，以劫持用户交互流。在本文中，我们展示了一个简单的恶意软件的活动注入攻击，并使用操作语义正式指定了活动激活机制。基于操作语义，我们开发了一个静态分析工具，它分析 Android 应用程序以检测活动注入攻击。我们的工具足够快，可以平均在 6 秒内分析真实世界的 Android 应用程序，我们的实验发现 129 个应用程序中有 1761 个，756 个真实的 Android 应用程序将它们的活动注入到其他应用程序的任务中。此外，我们提出了一种防御机制，称为基于签名的活动访问控制（SAAC），它完全禁止活动注入攻击。防御机制足够通用，可以保持当前Android多任务处理功能的完整，并且足够简单，可以独立于复杂的活动激活语义，不会显着增加活动激活时间。随着 SAAC 形式语义的扩展，我们证明了 SAAC 正确地减轻了活动注入攻击而没有任何误报。防御机制足够通用，可以完整地保持当前Android多任务处理特性，并且足够简单，可以独立于复杂的活动激活语义，不会显着增加活动激活时间。随着 SAAC 形式语义的扩展，我们证明了 SAAC 正确地减轻了活动注入攻击而没有任何误报。防御机制足够通用，可以保持当前Android多任务处理功能的完整，并且足够简单，可以独立于复杂的活动激活语义，不会显着增加活动激活时间。随着 SAAC 形式语义的扩展，我们证明了 SAAC 正确地减轻了活动注入攻击而没有任何误报。