uni-app 安卓 IOS 检测报告 漏洞

uni-app 安卓 IOS 检测报告 漏洞

测评结果

测评目的

检测App中是否存在PendingIntent使用了隐式Intent或者空Intent的风险。

危险等级

低

危害

PendingIntent提供了一种特殊的异步处理机制，App可创建一个待处理的Intent给其他应用，并且允许这个应用以与自己相同的权限来执行这个Intent。即使创建Intent的原始App应用已经被关闭，其他应用在获取PendingIntent之后，仍可能对Intent进行修改，并以原始应用的权限与ID来执行修改后的恶意行为。这样可能导致原始App获取的系统权限和用户数据泄露，例如系统被恶意关闭，短信劫持，系统数据删除，甚至应用中涉及的用户数据被恶意篡改，或者执行恶意操作如转账、发送信息等。

测评结果

存在风险(发现2处)

测评结果描述

该App中存在PendingIntent错误使用Intent的风险。

测评详细信息

• 文件: io/dcloud/common/adapter/ui/webview/SysWebView$3
• 方法: public onCallBack(ILandroid/content/Context;Ljava/lang/Object;)Ljava/lang/Object;

• 文件: io/dcloud/feature/x5/X5WebView$4
• 方法: public onCallBack(ILandroid/content/Context;Ljava/lang/Object;)Ljava/lang/Object;