云打包的Android版本的app出现StrandHogg漏洞

分类：HBuilderX

采用的是Android云打包方式。漏扫发现如下问题：
StrandHogg是一个存在于Android多任务系统中的应用漏洞。此漏洞利用
APP清单文件AndroidManifest.xml中android:taskAffinity的属性设置
，使安装在Android设备上的恶意应用可以伪装成该设备上的任意其他应用
程序，包括需要特权的任意系统应用程序。当用户点击正常应用图标时
，恶意程序可以拦截劫持这个任务，并伪装成正常应用程序的界面，从而
窃取用户的敏感数据。同时恶意应用程序还可以冒充正常应用向用户请求
权限，包括SMS、照片、麦克风和GPS等，从而允许攻击者访问短信和通讯
录、查看相册、窃听并跟踪受害者等。

2021-08-06 11:09 负责人:无分享