Android常见安全风险点之导出service组件

这个漏洞是因为导出service,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意启动或者停止服务,应用会产生拒绝服务等问题。

如果它们只被同一个软件中的代码调用,将service属性改为android:exported="false",如果组件需要对外暴露,应该通过自定义权限限制对它的调用。

相关推荐:
所谓的粘性广播就是指发出的广播内容会一直在系统滞留,如果有敏感信息,会被其他恶意应用获取。 开发中尽量不要使用sendStickyBroadcast方法,或者使用后调用removeStickyBroadcast()删除。
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
找不到activity类: android.content.ActivityNotFoundException: Unable to find explicit activity class {xxxx} 在AndroidMainifest.xml中增加activity的申明,如: <activity android:name=".x …
webview中开启JavaScript、Plugin插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。 1)在android默认关闭了javascript,如果不是必要,请不要打开javascript 2)禁用webview …
当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别为是”accessibility” 和 “accessibilityTraversal”,如果应用使用了系统的WebView,并且设置了setJavaScr …
拿起手机扫一扫即可带走我!