【问题标题】:Android - avoiding intent sniffingAndroid - 避免意图嗅探
【发布时间】:2014-08-12 01:35:10
【问题描述】:

我正在尝试理解 via forensics 在此 page 上所做的声明:

当另一个应用程序使用广播意图启动活动时 Intent 中传递的数据可以被恶意应用读取。恶意的 app 还可以读取应用程序的最近 Intent 列表。例如, 当 Android Web 浏览器被一个应用程序调用并传递一个 URL 时, URL 可以被嗅探。

建议不要在应用之间传递敏感数据 使用广播意图。

我的问题是:

1) 如何使用广播意图启动活动?

2) 恶意应用程序如何读取应用程序的近期意图列表?

【问题讨论】:

  • 我同意 Emmanuel 的第 1 点。我认为他们措辞很糟糕,他们的意思是明确的 Intent 以及针对特定文档类型等的 ACTION_VIEW 等操作。我也认为另一部分措辞很糟糕——我不相信恶意应用程序可以“读取最近的 Intent 列表”,但它可以拦截/嗅探 Intent 并维护它自己的最近发生的事情的列表。换句话说,如果它在您的应用接收 Intent 时处于活动状态,那么它可以构建正在发生的事情的图景,并可能危及安全/机密性。
  • 是的,我同意 Squonk 的观点。

标签: android android-intent


【解决方案1】:

1) 如何使用广播意图启动活动?

您发送一个明确的Intent 匹配目标IntentFilterActivity

2) 恶意应用程序如何读取应用程序的近期意图列表?

我不知道你是否能得到一个列表,但恶意应用可以简单地使用与非恶意应用相同的IntentFilters 并嗅探你的Intents

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2017-03-26
    • 2011-08-01
    • 2021-11-04
    • 1970-01-01
    • 2010-10-18
    • 2015-04-09
    • 1970-01-01
    相关资源
    最近更新 更多