Intent组件隐式调用风险
测评目的 检测App中是否存在PendingIntent使用了隐式Intent或者空Intent的风险。
危险等级 低
危害 PendingIntent提供了一种特殊的异步处理机制,App可创建一个待处理的Intent给其他应用,并且允许这个应用以与自己相同的权限来执行这个Intent。即使创建Intent的原始App应用已经被关闭,其他应用在获取PendingIntent之后,仍可能对Intent进行修改,并以原始应用的权限与ID来执行修改后的恶意行为。这样可能导致原始App获取的系统权限和用户数据泄露,例如系统被恶意关闭,短信劫持,系统数据删除,甚至应用中涉及的用户数据被恶意篡改,或者执行恶意操作如转账、发送信息等。
测评结果 存在风险(发现2处)
测评结果描述 该App中存在PendingIntent错误使用Intent的风险。
测评详细信息 1.
[文件]:
io/dcloud/common/adapter/ui/webview/SysWebView$3
[方法]:
public onCallBack(ILandroid/content/Context;Ljava/lang/Object;)Ljava/lang/Object;
-
[文件]:
io/dcloud/feature/x5/X5WebView$4
[方法]:
public onCallBack(ILandroid/content/Context;Ljava/lang/Object;)Ljava/lang/Object;
0 个回复