关于BroadCastReceiver安全性的思考

最新推荐文章于 2025-05-30 16:57:30 发布
原创 最新推荐文章于 2025-05-30 16:57:30 发布 · 置顶 · 6.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Android中BroadcastReceiver的安全性问题,指出隐式广播可能被恶意利用,频繁发送广播到应用。作者提出了三种解决方案:1) 在manifest.xml中为receiver设置export属性;2) 添加自定义权限并限制接收广播的receiver;3) 使用LocalBroadcastManager以提高广播的安全性。

尊重原创:http://blog.csdn.net/yuanzeyao/article/details/38948863

BroadCastReceiver是Android 四大组件之一,应用非常广泛,也非常简单,但是我们平时在使用的过程中忽略了一个安全问题。别人很容易通过反编译获取到我们应用中的广播,然后频繁的向你的App中发送广播,这个当然是我们不想看到的现象,那么如何避免应用中注册的广播响应其他应用发送的广播呢?在解决这个问题之前,我们先来了解一下如何发送一个广播。


在Android中发送一个广播通常有两种方式:显示和隐式

显式:

Intent intent=new Intent(this,MyBroadCastReceiver.class);
    this.sendBroa
最低0.47元/天 解锁文章
[车联网安全自学篇] Android安全之Broadcast Receivers攻防
橙留香Park的博客
04-11 5105
Broadcast Receivers 是对广播接收和回应的组件。系统会发出许多广播,比如时区的改变、电量过低,图片被选中等。应用也可生成广播,比如通知其他设备一些数据已经下载完成并且可以被使用Broadcast Receiver 是 Android 定义的四大组件之一,它没有界面,通常用来处理系统级事件,例如它可以启动一个界面作为对广播的回应,或者使用NotificationManager提示用户。NotificationManager可以通过多种方式提示用户,比如闪烁背光灯,震动设备,播放提示音等等。.
移动安全学习笔记——组件安全之BroadcastReceiver组件漏洞挖掘
0nc3的博客
02-26 1857
0x00 BroadcastReceiver简介 1、漏洞场景 广播即intent; 当发送一个广播时,系统会将发送得到广播与系统中已注册的符合条件的接收者的intent-filter进行匹配,若匹配成功,则执行相应接收者的onReceive函数; 发送广播时如果处理不当,恶意app便可以嗅探、拦截广播,致使敏感数据泄露; 接收广播时处理不当则可以导致拒绝服务、消息伪造、越权操作。 2、漏洞分类 信息泄露 消息伪造 权限绕过 拒绝服务 0x01 敏感信息泄露 1、漏洞原理 发送的in
Android静态安全检测 -> Broadcast Receiver组件暴露
4lwin博客
07-12 6499
Broadcast Receiver组件暴露 - exported属性 1. android:exported 该属性用来标示,当前Broadcast Receiver是否可以从当前应用外部获取Receiver message true 表示可以 false 表示不可以,当前Broadcast Receiver只能收到同一个应用或者拥有同一
LocalBroadcastManager-应用内部的Broadcast
coder_nice的专栏
06-12 628
转载地址:http://www.jcodecraeer.com/a/anzhuokaifa/androidkaifa/2015/0102/2249.html LocalBroadcastManager是Android Support包提供了一个工具,用于在同一个应用内的不同组件间发送Broadcast。 BroadcastReceiver安全问题 BroadcastReceive
LocalBroadcastManager解决BroadcastReceiver安全问题
北极冰神殿的博客
08-25 350
在Android系统中,BroadcastReceiver的设计初衷就是从全局考虑的,可以方便应用程序和系统、应用程序之间、应用程序内的通信,所以对单个应用程序而言BroadcastReceiver是存在安全性问题的,相应问题及解决如下: 1、当应用程序发送某个广播时系统会将发送的Intent与系统中所有注册的BroadcastReceiver的IntentFilter进行匹配,若匹配成功则
Android Studio中BroadcastReceiver使用:系统事件监听
移动开发前沿的博客
05-30 1097
在Android开发中,我们经常需要感知系统或其他应用的“动态”:比如用户手机电量只剩10%时提醒保存数据,网络从WiFi切到移动数据时调整资源加载策略,甚至手机时间变化时更新界面显示……这些需求都需要一个“系统事件监听员”——BroadcastReceiver(广播接收器)。本文将聚焦系统事件监听场景,覆盖BroadcastReceiver的核心概念、注册方式、实战操作及常见问题。本文将按照“概念→原理→实战→避坑”的逻辑展开:先用生活案例解释BroadcastReceiver的本质;
getApplication().registerReceiver(broadcastReceiver, filter) No value passed for parameter 'context'.是getApplication()中缺少Context
最新发布
09-24
重新思考:可能用户是在一个非Context的地方调用了getApplication()?比如在一个没有Context的类中?那么getApplication()可能无法调用,因为getApplication()是Context的一个方法。所以,我们需要传递一个Context...
常见 Android 代码兼容性问题及解决方案
珠穆朗玛小王子的博客
01-13 4308
前言 感谢大家对这篇文章的支持,我们将深入研究安卓中常见的兼容性问题的原因以及解决方案,主要目录如下: 如何回调 Fragment 的 onActivityResult()方法; 监听 ScrollView 滑动底部的兼容问题; WebView的兼容问题 Android 5.0 监听网络; Android 7.0 文件共享; Android 8.0 安装 Apk; Android 8.0 发送通...
服务合同违约策略与信息安全防护:SpoofKiller的解决方案
### 服务合同违约策略与信息安全防护:SpoofKiller的解决方案 #### 服务合同违约问题分析 在服务合同相关问题中,我们首先考虑一般情况。假设技术费用成本为 $u$,应用于 A 和 B 的 1 - 900 费率(分别为 $r_A$ 和 ...
深入理解 Android 组件的 exported 属性
BridgeGeorge
07-10 1万+
Activity的exported属性在单个App可能用得比较少,但对于对外接口的Activity或公司内部多个应用间接口调用的设计会有比较大的影响。本文基于android 6.0.1的源码谈谈Activity的exported属性,内容分为2部分: 来自官方文档的描述 下面来详细的了解一下四大组件中的这个属性: 1、先来看:Activity中的: <activity …...
【Android】动态注册广播接收器(更新版)
03-06
【Android】动态注册广播接收器Demo 相关文章链接:http://blog.csdn.net/etzmico/article/details/7317528 PS:之前的版本有个BUG,给大家带来了不便,请多包涵!~
Android中Broadcast Receiver组件详解
热门推荐
zuolongsnail的专栏
05-27 9万+
BroadcastReceiver(广播接收器)是Android中的四大组件之一。   下面是Android Doc中关于BroadcastReceiver的概述: ①广播接收器是一个专注于接收广播通知信息,并做出对应处理的组件。很多广播是源自于系统代码的──比如,通知时区
Android14 普通应用registerReceiver注册广播报错One of RECEIVER_EXPORTED or RECEIVER_NOT_EXPORTED should be
wenzhi的博客
04-30 1万+
Android14 普通应用注册广播registerReceiver会报错,提示需要添加一个参数RECEIVER_EXPORTED 或者 RECEIVER_NOT_EXPORTED;系统framework或者系统应用是不会报这个错误的!这个问题比较好解决,加一个参数就行,但是网上目前没有人对这个问题今天深入分析。本文对registerReceiver报错进行分析,具体到哪个类哪行代码报错,分析了解后对于系统其他相关报错能有个认识,或者有分析思路。
安卓安全之静态Receiver与动态Receiver容易忽视的点
xudong1107的博客
07-14 580
安卓安全之静态Receiver与动态Receiver容易忽视的点背景针对静态receiver的攻击总结 背景 在做安卓安全时,发现代码未对动态receiver中的action做判空校验,就直接进行equals比较,乍一看是有问题的; 后面开发申述:动态receiver的action是不会为空的,所以判空与否都不是问题; 仔细一想,好像是这么回事; 动态receiver接受的广播是通用IntentFilter里面的action决定的,接受到的广播必有action; 那么问题来了,那静态receiver呢? 答
警告:receiver Exported receiver does not require permission
Angus博客
04-11 1587
在Android的AndroidManifest.xml文件下写了多个receiver  其中部分receiver中有 解决办法: 加上android:exported = "false"可以解决这个警告。  <activity android:name=".MainActi
BroadCastReceiver详解
Smile.L.B的博客
07-12 497
参考http://www.jianshu.com/p/ca3d87a4cdf3一、广播1、广播的定义 广播是安卓系统中不同应用之间传输信息的一种机制,要发送广播的内容是一个Intent,这个Intent就是我们要传输的数据,Android系统在产生某个事件时发送广播,应用程序使用广播接收者接收这个广播,就知道系统产生了什么事件。比较像Java中的观察者模式 Android系统在运行的过程中
【android Broadcast】安全性~
無負今日
05-13 1136
在android系统中sendBroadcast和BroadcastReceiver。只要BroadcastReceiver指定的action和sendBroadcast action一致就可以就行消息接收。但是我们有这样的需求即我发送的广播不允许所有应用都可以接收广播消息,而是要经过发送者允许的才可以。比如某一个产品簇,每一个产品发送的广播消息只允许本簇内的产品才允许接收消息。其它应用即使act
Android安全广播,Android广播的安全性
weixin_40001924的博客
05-25 485
广播的分类定义分类系统广播由Android系统内部自动发出,用户只负责接收自定义广播由开发者自己定义的广播注册方式分类动态注册在代码中注册的静态注册动态注册要求程序必须在运行时才能进行,如果需要在程序还没启动的时候就可以接收到注册的广播,就需要静态注册了。主要是在AndroidManifest中进行注册发送方式分类(只能是自定义广播)标准广播没有先后顺序可言,不能修改内容,无法被截断有序广播根据优...
Android让你发送的"广播"更加安全
vv_bug
11-22 1671
前言:今天我们老大跑过来,说我们的app中出现了安全漏洞,我顿时懵逼了,在安全软件的监测下,说是动态注册了一个没有权限的广播,唉唉!!以前在外包呆久了,然而只负责快速实现功能,完全没有考虑安全性啊,于是就准备给广播加加权限,没想到一路遇到坑啊~~~~我这里创建了两个app,一个A,一个B。 首先我们在app A中去注册一个广播一般朋友都会向我这样写,很快,很爽!:registerReceiver(
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值