【风险等级】中风险
【漏洞地址】
【漏洞描述】
在Android系统中存在大量的非公开函数,这些非公开函数存在不稳定性,在后续Android版本迭代中,这些私有函数可能被删除或更改,直接调用私有函数可能会导致应用不兼容后续Android版本。同时在高版本的Android系统中,系统已禁止应用调用系统私有函数,直接调用会导致应用崩溃无法正常运行,影响用户体验。
【修复建议】
开发者主动移除私有函数调用。
【漏洞验证】
1、对APK中所有Dex文件进行解析,获取Dex文件的所有类名以及函数名。
2、判断是否存在系统私有类。如果存在则存在风险,否则安全。
存在风险,共发现[2]个风险
1:灰名单API
Landroid/app/Application;->attach在Lcom/stub/StubApp;->attachBaseContext(Landroid/content/Context;)V调用
2:灰名单API
Landroid/app/Application;->attach在Lcom/stub/StubApp;->attachBaseContext(Landroid/content/Context;)V调用
h***@126.com
- 发布:2022-06-01 12:29
- 更新:2024-05-21 15:38
- 阅读:644
1 个回复
6***@qq.com
咋没人回复呢