我最近使用HPFortify服务对我的Android源代码进行了代码扫描。他们报告了谷歌分析接收器的安全漏洞。他们建议使用广播公司的权限来减少攻击媒介。这样你就可以限制广播,否则任何恶意应用都可以发送意图,广播接收者也会对其进行处理。
这是我的AndroidManifest文件。
<receiver
android:name="com.google.android.gms.analytics.AnalyticsReceiver"
android:enabled="true">
<intent-filter>
<action android:name="com.google.android.gms.analytics.ANALYTICS_DISPATCH"/>
</intent-filter>
</receiver>
<service
android:name="com.google.android.gms.analytics.AnalyticsService"
android:enabled="true"
android:exported="false"/>
我正在尝试找出AnalyticsReceiver的广播机构权限。根据HpFortify,广播接收器看起来应该类似于:
<receiver
android:name="com.google.android.gms.analytics.AnalyticsReceiver"
android:permission="SOME-GOOGLE-ANALYTICS-PERMISSION"
android:enabled="true">
<intent-filter>
<action android:name="com.google.android.gms.analytics.ANALYTICS_DISPATCH"/>
</intent-filter>
</receiver>
编辑1: 我也在寻找源代码来找出正确的权限。但我无法找到谷歌分析源代码。