Android常见安全风险点之隐式广播风险

使用隐式intent进行广播会造成数据泄露、拒绝服务、钓鱼等安全问题。

使用Intent.setPackage 、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context,Receivered.class)中任一种方法明确指定目标接收方;进程内发送消息建议使用LocalBroadcastManager;或者使用sendBoardcast(Intent, receiverPermission)代替sendBoardcast(Intent)保证其他应用不能接收到该广播信息。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 风险在于数据库数据泄露,可被删除、篡改等问题。 若有这方面的问题,其实可以参考WEB上对SQL的防护,通常可以是定向过滤、参数化等,也可以是白名单模式。 然而对于安卓而言,考虑到数据库文件就在本地,所以建议增加一环,将SQLITE文件进行加密,解密放在SO扩展中。
  • 原因在于导出activity,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意调用,应用会产生拒绝服务等问题。 遇到这样的问题,如果它们只被同一个软件中的代码调用,将activity属性改为android:exported=”false”,如果组件需要对外暴露,应该通...
  • 隐式intent没有明确指明哪些接收方有权限接收,恶意程序指定action标识后,可以获取intent内容,导致数据泄露,intent劫持,仿冒,钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.setClassName、Intent.s...
  • 科普下: build.prop 是Android系统中一个类似于Windows系统注册表的文件,该文件内定义了系统初始(或永久)的一些参数属性、功能的开放等。并且在 Android中虽然每一版都有自己独有的参数,但绝大部分都是通用的,且可以起到关键性作用的。 参数粗解: ro.build.id=&n...
  • 忘记加载activity的layout文件:setContentView(R.layout.main);
微信扫一扫即可带走我!