android 权限提升

2019-08-01  ⋅   android安全   APP漏洞  

搜狗输入法的com.sogou.udp.push.PushServiceReceiver导出,并且数据可控,通过构造恶意数据,可以触发通知及振动响铃。

APP在不需要相关权限情况下会频繁触发手机震动、响铃功能,触发恶意通知信息,给用户造成安全隐患。
在正常状态下,如果一些恶意的APP借用这个广播,触发里面的广播机制,不需要加入手机震动权限,可造成手机频繁响铃震动或者弹窗风险等问题。

service

评论系统未开启,无法评论!

  1. 搜狗输入法的com.sogou.udp.push.PushServiceReceiver导出,并且数据可控,通过构造恶意数据,可以触发通知及振动响铃。
  2. service