假设用户忘记了密码并请求了电子邮件链接以重置密码。电子邮件可能包含重置密码的URI链接。如果这是Android或iOS中注册URI方案的URI,这是安全吗?
例如,如果URI被广播到监听器应用程序,恶意应用程序是否可以使用此URI并在幕后重置原始站点用户的登录用户名和密码?
恶意应用程序可以注册接收来自任何域的链接,还是有限制? (iOS或Android)
更新:我正在谈论的深层链接是:
答案 0 :(得分:2)
在Android设备上,如果使用相同的深层链接URI方案注册了多个应用程序,我相信您会收到一个选择器对话框。这允许用户选择实际用于解析深层链接URI的应用程序并完成操作:
不完全确定为什么iOS没有选择实现类似的东西,尽管我认为这是因为它有时会提供一些有点不方便和/或令人困惑的用户体验。
答案 1 :(得分:1)
在iOS中注册自定义URL方案没有任何安全性。 Apple的文档说明
如果有多个第三方应用注册处理相同的网址方案,则目前无法确定将为该方案提供哪个应用。
我不确定Android的情况如何,但我怀疑它是相似的 - 该方案只是列在清单文件中。
对于有人利用它,他们需要
根据我对您的问题的评论,您需要评估应用程序环境中的风险以及帐户授予的访问权限,但从表面上看,漏洞利用的可能性似乎很低