谨慎使用Broadcasts

细节

如果在发送Broadcast Intent时未设置权限，则任何非授权应用都可以接收到该Intent，除非它具有明确的目的地。

攻击者可以采取以下方式来利用没有设置任何权限的Intent：

• 创建一个包含与合法组件名称相同的组件的恶意应用程序
• 只要该名称（或命名空间）尚未使用，恶意应用程序就可以安装在目标设备上
• 从发送到该组件名称的Broadcast Intent中提取敏感数据

建议

使用权限来保护应用程序中的Intents。请记住，当通过Broadcast Intent向第三方组件发送信息时，该组件可能已被恶意软件替代。

参考

• https://developer.android.com/training/articles/security-tips.html#Permissions

• http://shop.oreilly.com/product/0636920022596.do

• M8 - Security Decisions via Untrusted Inputs ; M10 - Lack of Binary Protections

• CWE-925: Improper Verification of Intent by Broadcast Receiver