敏感函数调用风险


一、API


【1】android.telephony.TelephonyManager.getNetworkOperator( )   获取运营商信息


【2】android.telephony.TelephonyManager.getDeviceId( )   获取设备信息


【3】android.telephony.TelephonyManager.getPhoneType( )   获取手机信息


【4】android.telephony.TelephonyManager.getSubscriberId( )  获取设备信息


【5】android.telephony.TelephonyManager.getLine1Number( )  获取手机号


【6】android.telephony.TelephonyManager.getCellLocation( )  获取位置信息


【7】android.telephony.TelephonyManager.listen( )  电话监听


【8】android.telephony.TelephonyManager.getSimOperator( )  获取SIM卡信息


【9】android.app.ActivityManager.getRunningAppProcesses( )  获取运行APP


【10】android.app.ActivityManager.getRunningTasks( )  获取正运行的task


【11】android.content.pm.PackageManager.getInstalledPackages( )  获取安装APP


二、触发条件


1. 定位敏感函数的调用位置


【1】对应到smali语句中的特征

r'Landroid/(?:telephony/TelephonyManager;->(?:getNetworkOperator|getDeviceId|getPhoneType|' \             r'getSubscriberId|getLine1Number|getCellLocation|listen|getSimOperator)|' \             r'app/ActivityManager;->getRunning(?:AppProcesses|Tasks)|' \             r'content/pm/PackageManager;->getInstalledPackages)\('


三、漏洞原理


【1】APP应用程序中调用了包含敏感行为的函数,包括发送短信、发送地理位置、拨打电话等,可能会导致用户隐私数据泄露等风险


四、修复建议


【1】开发者审核包含敏感行为的函数调用,确保其使用是必要且限制于授权用户的


更多相关文章

  1. Android 方法调用堆栈信息显示
  2. C#:基于WMI查询USB设备信息 及 Android设备厂商VID列表
  3. Android 获取系统信息(手机品牌、型号、安卓版本号等等)
  4. Android sqlite数据库存取图片信息
  5. IOS/Android 读取蓝牙设备电量信息
  6. Android 指定Toast信息显示的位置并使用Toast显示其他View
  7. android屏幕信息获取的两种方法
  8. android之获取手机安装包里面的信息、获取目录空间的大小
  9. android:minSdkVersion =3改成7导致我的surfaceview的位置出现偏

随机推荐

  1. (转)#小美化#android 按钮圆角
  2. Android使用七牛上传图片踩坑及解决方案
  3. Android客户端和服务器端数据交互的第二
  4. Android——使用DatePicker和TimePicker
  5. Android判断当前界面是否是桌面(主页)
  6. 设置 quick-cocos2d-x 在 Mac 下的编译环
  7. android 如何中断一个子线程
  8. Android(安卓)高级编程--Fragment理解与
  9. Android(安卓)Webview 使用Html播放音频
  10. Java序列化反序列化、Serializable、Parc