Android Intent 劫持
可以注册恶意应用程序以接收针对其他应用程序的 Intent,然后可以接收敏感值,如 中描述的 OAuth 授权代码。
缓解
| 缓解 | 描述 |
|---|---|
| 应用程序审查 | 在审查应用程序是否存在潜在的安全漏洞时,可以查找不安全的 intent 使用。应鼓励开发人员使用技术来确保只能将 intent 发送到适当的目的地(例如,使用显式而非隐式 intent,检查权限,检查目标应用程序的签名证书或 Android 6.0 中添加的应用程序链接功能)。对于使用 OAuth 的移动应用程序,鼓励使用 IETF 草案“OAuth 2.0 for Native Apps”中描述的最佳实践。[2] [3] |
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论