一、平臺(tái)使用不當(dāng)

1.1、定義

平臺(tái)使用不當(dāng)包涵Android控件的配置不當(dāng)或編碼不當(dāng)。包括Activity、Service、ContentProvider、Broadcast Receiver、Intent組件、WebView組件使用過(guò)程中配置是否規(guī)范與編碼是否規(guī)范。

1.2、風(fēng)險(xiǎn)

平臺(tái)使用不當(dāng)會(huì)造成的風(fēng)險(xiǎn)包括組件被惡意調(diào)用、惡意發(fā)送廣播、惡意啟動(dòng)應(yīng)用服務(wù)、惡意調(diào)用組件、攔截組件返回的數(shù)據(jù)、遠(yuǎn)程代碼執(zhí)行等。

1.3、防范方法

1.3.1、預(yù)防組件最小化組件暴露

【規(guī)范要求】

針對(duì)不需要進(jìn)行跨應(yīng)用調(diào)用的組件，應(yīng)在配置文件（AndroidManifest.xml）中顯示配置android:exported="false"屬性。

【詳細(xì)說(shuō)明】

組件配置android:exported="false"屬性，表明它為私有組件，只可在同一個(gè)應(yīng)用程序組件間或帶有相同用戶ID的應(yīng)用程序間才能啟動(dòng)或綁定該服務(wù)。在非必要情況下，如果該屬性設(shè)置為“true”，則該組件可以被任意應(yīng)用執(zhí)行啟動(dòng)操作，造成組件惡意調(diào)用等風(fēng)險(xiǎn)。

【代碼示例】

AndroidManifest.xml配置文件中activity組件的配置方式示例。

反例：

<activity

總結(jié)

以上是生活随笔為你收集整理的移动安全--50--Android安全开发编码规范的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。