搜狗输入法的com.sogou.udp.push.PushServiceReceiver导出,并且数据可控,通过构造恶意数据,可以触发通知及振动响铃。

APP在不需要相关权限情况下会频繁触发手机震动、响铃功能,触发恶意通知信息,给用户造成安全隐患。
在正常状态下,如果一些恶意的APP借用这个广播,触发里面的广播机制,不需要加入手机震动权限,可造成手机频繁响铃震动或者弹窗风险等问题。

service