【高危】Provider组件暴露漏洞共1处
详细内容
复制代码没有权限限制的导出组件可以使其他app访问本程序的数据,导致数据泄露
com.igexin.download.DownloadProvider
修复建议
建议增加权限限制
【中危】Activity安全漏洞
下列Activity存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用
name:io.dcloud.PandoraEntry
【中危】Service安全漏洞
下列Service存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用
name:io.dcloud.feature.apsGt.PushMessageReceiver
【中危】Receiver安全漏洞共2处
详细内容
复制代码下列BroadcastReceiver存在崩溃或者异常,任意其它应用可导致存在此漏洞的应用崩溃或者功能调用
name:io.dcloud.adapter.io.MiniServerService
【低危】Activity组件暴露风险共7处
详细内容
复制代码以下Activity接口可被其它应用调用,用于执行特定的敏感操作或钓鱼欺骗,建议添加 android:exported=false,若需要外部调用,需自定义signature或者signatureOrSystem级别的权限
io.dcloud.PandoraEntry
io.dcloud.PandoraEntryActivity
io.dcloud.imagepick.CustomGalleryActivity
com.igexin.sdk.GActivity
com.kuaiyou123.kuaiyou.wxapi.WXEntryActivity
com.tencent.tauth.AuthActivity
com.tencent.connect.common.AssistActivity
低危】Service组件暴露风险共6处
详细内容
复制代码以下服务可被其它应用调用,用于执行特定的敏感操作或钓鱼欺骗,建议添加 android:exported=false,若需要外部调用,需自定义signature或者signatureOrSystem级别的权限
io.dcloud.adapter.io.MiniServerService
com.baidu.location.f
com.igexin.sdk.PushService
com.igexin.sdk.PushServiceUser
com.igexin.download.DownloadService
com.igexin.getuiext.service.GetuiExtService
修复建议
无需暴露的组件请设置exported=false;若需要外部调用,建议添加自定义signature或signatureOrSystem级别的私有权限保护;需要暴露的组件请严格检查输入参数,避免应用出现拒绝服务。
【低危】Receiver组件暴露风险共1处
详细内容
复制代码以下广播可被外部调用导致敏感信息泄露
io.dcloud.feature.apsGt.PushMessageReceiver
修复建议
无需暴露的组件请设置exported=false;若需要外部调用,建议添加自定义signature或signatureOrSystem级别的私有权限保护;需要暴露的组件请严格检查输入参数,避免应用出现拒绝服务。进程内动态广播注册建议使用LocalBroadcastManager;或者使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission, Handler)替代registerReceiver(BroadcastReceiver, IntentFilter)
周建伟 (作者)
不通过不让提交他的应用分享平台。
2016-07-11 19:20