【发布时间】:2014-08-12 01:35:10
【问题描述】:
我正在尝试理解 via forensics 在此 page 上所做的声明:
当另一个应用程序使用广播意图启动活动时 Intent 中传递的数据可以被恶意应用读取。恶意的 app 还可以读取应用程序的最近 Intent 列表。例如, 当 Android Web 浏览器被一个应用程序调用并传递一个 URL 时, URL 可以被嗅探。
建议不要在应用之间传递敏感数据 使用广播意图。
我的问题是:
1) 如何使用广播意图启动活动?
2) 恶意应用程序如何读取应用程序的近期意图列表?
【问题讨论】:
-
我同意 Emmanuel 的第 1 点。我认为他们措辞很糟糕,他们的意思是明确的
Intent以及针对特定文档类型等的ACTION_VIEW等操作。我也认为另一部分措辞很糟糕——我不相信恶意应用程序可以“读取最近的 Intent 列表”,但它可以拦截/嗅探 Intent 并维护它自己的最近发生的事情的列表。换句话说,如果它在您的应用接收 Intent 时处于活动状态,那么它可以构建正在发生的事情的图景,并可能危及安全/机密性。 -
是的,我同意 Squonk 的观点。