测评目的 检测apk中的Activity组件是否存在导出的风险。
危险等级 中
危害 Activity作为组成Apk的四个组件之一,是Android程序与用户交互的界面,如果Activity打开了导出权限,可能被系统或者第三方的App直接调出并使用。Activity导出可能导致登录界面被绕过、拒绝服务攻击、程序界面被第三方恶意调用等风险。
测评结果 存在风险(发现2处)
测评结果描述 该Apk 中的Activity组件开启了导出权限,存在组件导出风险。
测评详细信息 1.
[文件]:
AndroidManifest.xml
[代码]:
<activity android:configChanges=keyboardHidden|mcc|mnc|orientation|screenSize android:exported=true android:launchMode=singleTask android:name=io.dcloud.appstream.StreamAppMainActivity android:screenOrientation=portrait android:taskAffinity=:list android:theme=@android:style/Theme.Wallpaper.NoTitleBar android:windowSoftInputMode=stateAlwaysHidden|adjustResize>
<intent-filter>
<action android:name=android.intent.action.MAIN/>
</intent-filter>
<intent-filter>
<data android:scheme=streamapp/>
<data android:scheme=streamappmain/>
<action android:name=android.intent.action.VIEW/>
<category android:name=android.intent.category.DEFAULT/>
<category android:name=android.intent.category.BROWSABLE/>
</intent-filter>
</activity>
-
[文件]:
AndroidManifest.xml
[代码]:
<activity android:excludeFromRecents=true android:exported=true android:label=@string/app_name android:launchMode=singleTop android:name=io.dcloud.ProcessMediator android:theme=@android:style/Theme.Translucent.NoTitleBar/>
解决方案 开发者自查:关闭AndroidManifest.xml中的Activity组件导出权限,对于必须导出的组件必须限制于授权用户或者应用组件。
测评目的 检测apk中的Service组件是否存在导出的风险。
危险等级 中
危害 Service作为组成Apk的四个组件之一,一般作为后台运行的服务进程,如果设置了导出权限,可能被系统或者第三方的App直接调出并使用。Service导出可能导致拒绝服务攻击,程序功能被第三方恶意调用等风险。
测评结果 存在风险(发现1处)
测评结果描述 该Apk 中的Service组件开启了导出权限,存在组件导出风险。
测评详细信息 1.
[文件]:
AndroidManifest.xml
[代码]:
<service android:name=io.dcloud.streamdownload.DownloadService>
<intent-filter>
<action android:name=com.qihoo.life.plugin.streamapp.ACTION_PUSH_TO_PLUGIN/>
</intent-filter>
</service>
解决方案 开发者自查:关闭AndroidManifest.xml中的Service组件导出权限,对于必须导出的组件必须限制于授权用户或者应用组件。
测评目的 检测apk中的Broadcast Receiver组件是否存在导出的风险。
危险等级 中
危害 Broadcast Receiver作为组成Apk的四个组件之一,对外部事件进行过滤接收,并根据消息内容执行响应,如果设置了导出权限,可能被系统或者第三方的App直接调出并使用。Broadcast Receiver导出可能导致敏感信息泄露、登录界面被绕过等风险。
测评结果 存在风险(发现2处)
测评结果描述 该Apk 中的Broadcast Receiver组件开启了导出权限,存在组件导出风险。
测评详细信息 1.
[文件]:
AndroidManifest.xml
[代码]:
<receiver android:name=io.dcloud.common.adapter.io.PushReceiver>
<intent-filter>
<action android:name=dcloud.push.broswer/>
</intent-filter>
</receiver>
-
[文件]:
AndroidManifest.xml
[代码]:
<receiver android:name=io.dcloud.common.adapter.io.DownloadReceiver>
<intent-filter>
<action android:name=android.intent.action.DOWNLOAD_COMPLETE/>
</intent-filter>
<intent-filter>
<action android:name=android.intent.action.PACKAGE_ADDED/>
<data android:scheme=package/>
</intent-filter>
</receiver>
解决方案 开发者自查:关闭AndroidManifest.xml中的Broadcast Receiver组件导出权限,对于必须导出的组件必须限制于授权用户或者应用组件。
1 个回复
1***@163.com
楼主解决了吗