12.4 PendingIntent误用风险
(1)描述
使用pendingIntent时候,如果使用了一个空Intent,会导致恶意用户劫持Intent的内容。禁止使用空intent去构造pendingIntent。
(2)风险等级
中
(3)影响范围
所有Android版本
(4)检测方法
检测类型:静态分析
通过判断代码片段中有没有出现以下函数,即可知道是否使用了空intent构造PendingIntent。
(5)修复建议
禁止使用空intent去构造pendingIntent。
(6)参考资料
http://wolfeye.baidu.com/blog/pendingintent-leak-information/
http://bbs.mob.com/thread-5249-1-1.html
https://developer.android.com/reference/android/app/PendingIntent.html