java Android意图安全 1 周,2 日 Questions & Answers 3205 最近我一直在设计一些Android应用程序,我下一次的实验冒险之一是第一次听到外部意图:谷歌语音。我想知道恶意用户是否有可能创建另一个与之前存在的向我的应用程序中注入恶意代码的可信意图基本相同的意图
# 1 楼答案 由于意图将活动彼此隔离(除非您是根用户或存在尚未发现的基本缺陷),它们无法将代码注入彼此。然而,你开始的任何活动当然可以根据其清单做任何允许的事情 针对恶意应用程序的主要安全对策是安装时的manifest和用户批准,无论它们是通过意图还是其他方式进行通信。如果用户安装了一个处理^{}的应用程序,当您尝试获得语音识别时,该应用程序将作为一个选项提供给最终用户。如果最终用户选择它,它将被执行。它对你的应用程序所能做的最多就是通过你的^{}将结果发回你的Activity。你必须决定对该数据的信任程度(例如,在发送可能令人尴尬的电子邮件之前,你可能想要求用户进行验证) 任何安全威胁模型都必须考虑您保护的资产、您信任的人和内容,以及外部交互和攻击点。说到语音识别,在安卓安全模式下,最糟糕的情况可能是外部应用程序自己做得最差(将你的应用程序用作触发器),或者它会发回糟糕的语音识别结果
# 1 楼答案
由于意图将活动彼此隔离(除非您是根用户或存在尚未发现的基本缺陷),它们无法将代码注入彼此。然而,你开始的任何活动当然可以根据其清单做任何允许的事情
针对恶意应用程序的主要安全对策是安装时的manifest和用户批准,无论它们是通过意图还是其他方式进行通信。如果用户安装了一个处理^{} 的应用程序,当您尝试获得语音识别时,该应用程序将作为一个选项提供给最终用户。如果最终用户选择它,它将被执行。它对你的应用程序所能做的最多就是通过你的^{} 将结果发回你的
Activity。你必须决定对该数据的信任程度(例如,在发送可能令人尴尬的电子邮件之前,你可能想要求用户进行验证)任何安全威胁模型都必须考虑您保护的资产、您信任的人和内容,以及外部交互和攻击点。说到语音识别,在安卓安全模式下,最糟糕的情况可能是外部应用程序自己做得最差(将你的应用程序用作触发器),或者它会发回糟糕的语音识别结果