Android常见安全风险点之导出broadcast receiver组件

该风险可能产生恶意发送广播,拦截有序广播。

如果它们只被同一个软件中的代码调用,将broadcast属性改为android:exported=”false”,如果组件需要对外暴露,应该通过自定义权限限制对它的调用。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,例如向getXXXExtra()传入自定义的序列化类对象,会导致应用本地拒绝服务。 对getextra方法加上try catch 捕获异常,防止应用拒绝服务。
  • 使用隐式intent进行广播会造成数据泄露、拒绝服务、钓鱼等安全问题。 使用Intent.setPackage 、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context,Receivered.class)中...
  • 存在内容被替换的风险,SharedPreference禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。 具体的修复方法可参考上一篇文章《Android常见安全风险点之File模式配置错误》。
  • 如下代码让位于同一行的两个控件分别左对齐和右对齐: <RelativeLayout xmlns:Android="http://schemas.android.com/apk/res/android" Android:background="@drawable/top" Android:lay...
  • Swap分区,即交换区,Swap空间的作用可简单描述为:当系统的物理内存不够用的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序,这些被释放的空间被临时保存到Swap空间中,等到那些程序要运行时,再从Swap中恢复保存的数据...
微信扫一扫即可带走我!