帶有GooglePlay權限的BroadcastReceiver的安全威脅

Question

以下情況是否會造成安全威脅？

形象的情況。

1. 您有沒有安裝GooglePlay服務的設備。
2. 您創建了一個具有android:permission="com.google.android.c2dm.permission.SEND"權限的廣播接收器（此權限由GooglePlay服務持有）並將其安裝在設備上。
3. 該應用不檢查設備上是否有GooglePlay服務。

可能是惡意軟件利用此開發人員錯誤？

Answer 1

這不太可能導致問題。有最小的問題，這一點，因爲：

1. 此權限是由谷歌的GCM（已通過FCM更換。）它是用來確保只有誰持有該許可的發件人可以發送Intent到註冊界定接收器。儘管如此，它在事物的宏偉計劃中只是少量的安全。

2. 即使不同的應用程序/服務定義了相同的權限，以便在GMS不存在的設備上僞裝它，但Intent的正常有效負載可能會包含某種類型的額外數據，因此Google的接收器清單中指定的內容）可以在做任何事情之前驗證其內容。

3. 從Android 4.4.3開始，將檢查添加到系統中，以便系統捆綁的應用程序/服務（例如GMS）權限定義優先於第三方應用程序。這可以防止第三方應用程序重新定義權限，以試圖取回系統應用程序權限。與你描述的情況不完全相同，但仍然很重要。