安全性检查处理
一、背景
前些时间被某些公司检查出漏洞,还举报到了我们管辖区的公安派出所,然后要求被整改,虽然感觉是有其他公司在搞我们,但是这些还是需要改的。下面做一下整理归纳检查的漏洞描述
一、出现的安全漏洞处理
1. SO 风险(低风险) (如果是高危漏洞需要进行更换升级SO:高风险)
这个我直接反馈没有相关信息通过SO进行保存处理,或者直接购买第三方服务,SO加固服务
2.BroadcasrtReceive 广播接受者风险 (中风险)
- 首先需要
android:exported="false"
- 但是会导致
<intent-filter>
出现问题,所以这里还需要进行动态注册后去添加:
IntentFilter intentFilter = new IntentFilter();
intentFilter2.addAction(BluetoothDevice.ACTION_ACL_CONNECTED);
....
registerReceiver(mBluetoothStateBroadcastReceive, intentFilter);
3.Service服务风险 (中风险)
主要是第三方:
- 不用的直接移除,比如极光的拉起服务,直接干掉
- 不能移除的,需要
android:exported="false"
- 如果不能
android:exported="false"
在整改报告中说明
4.Activity风险(中风险)
- 尽量默认
android:exported="false"
- 有些必须
android:exported="true"
的功能,如微信支付、H5拉起的界面的核心功能必须要的,只能在整改报告中说明无法处理,以及理由
4.ContentProvider风险(中风险)
主要也是第三方比如极光,但是修改 android:exported="false"
5.其他高位漏洞
必须修改,自己根据实际情况进行修改
三、整改报告
… 提供模板下载地址,找公司法务帮忙写更好