ATT&CK -

admin 2024年4月15日02:15:28评论3 views字数 311阅读1分2秒阅读模式

Android Intent 劫持

可以注册恶意应用程序以接收针对其他应用程序的 Intent,然后可以接收敏感值,如 中描述的 OAuth 授权代码。

缓解

缓解 描述
应用程序审查 在审查应用程序是否存在潜在的安全漏洞时,可以查找不安全的 intent 使用。应鼓励开发人员使用技术来确保只能将 intent 发送到适当的目的地(例如,使用显式而非隐式 intent,检查权限,检查目标应用程序的签名证书或 Android 6.0 中添加的应用程序链接功能)。对于使用 OAuth 的移动应用程序,鼓励使用 IETF 草案“OAuth 2.0 for Native Apps”中描述的最佳实践。[2] [3]

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日02:15:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK -http://cn-sec.com/archives/2657903.html

发表评论

匿名网友 填写信息