WIKI

12.3 Intent敏感数据泄露风险检测

(1)描述

APP创建Intent传递数据到其他Activity,如果创建的Activity不是在同一个Task中打开,就很可能被其他的Activity劫持读取到Intent内容,跨TaskActivity通过Intent传递敏感信息是不安全的。

(2)风险等级

提示

(3)影响范围

所有Android版本。

(4)检测方法

检测类型:静态分析

检测是否使用了FLAG_ACTIVITY_NEW_TASK标志

(5)修复建议

尽量避免使用包含FLAG_ACTIVITY_NEW_TASK标志的Intent来传递敏感信息。

(6)参考资料

http://wolfeye.baidu.com/blog/intent-data-leak/

http://www.jssec.org/dl/android_securecoding_en.pdf