本博客地址:https://security.blog.csdn.net/article/details/110873262
一、平台使用不当
1.1、定义
平台使用不当包涵Android控件的配置不当或编码不当。包括Activity、Service、ContentProvider、Broadcast Receiver、Intent组件、WebView组件使用过程中配置是否规范与编码是否规范。
1.2、风险
平台使用不当会造成的风险包括组件被恶意调用、恶意发送广播、恶意启动应用服务、恶意调用组件、拦截组件返回的数据、远程代码执行等。
1.3、防范方法
1.3.1、预防组件最小化组件暴露
【规范要求】
针对不需要进行跨应用调用的组件,应在配置文件(AndroidManifest.xml)中显示配置android:exported="false"属性。
【详细说明】
组件配置android:exported="false"属性,表明它为私有组件,只可在同一个应用程序组件间或带有相同用户ID的应用程序间才能启动或绑定该服务。在非必要情况下,如果该属性设置为“true”,则该组件可以被任意应用执