java - Qark 报告 java 文件 : zzaup, zzst、zze、MediaButtonReceiver、TaskStackBuilder 上的 PendingIntent 安全问题-6ren

java - Qark 报告 java 文件 : zzaup, zzst、zze、MediaButtonReceiver、TaskStackBuilder 上的 PendingIntent 安全问题

转载作者：行者123 更新时间：2023-11-30 05:03:15

25

4

我正在开发一个已经存在的应用程序，我必须使用 QARK 测试代码安全漏洞(快速 Android 审查工具包)。

当我运行此工具时，它会报告与未决 Intent 相关的问题:
在这些 Java 类中:
- myApp/classes_dex2jar/com/google/android/gms/internal/zzaup.java
- myApp/classes_dex2jar/com/google/android/gms/internal/zzst.java
- myApp/classes_dex2jar/com/google/android/gms/common/zze.java
- myApp/classes_dex2jar/android/support/v4/media/session/MediaButtonReceiver.java
- myApp/classes_dex2jar/android/support/v4/app/TaskStackBuilder.java

同样的警告:

Implicit Intent: localIntent used to create instance of PendingIntent. A malicious application could potentially intercept, redirect and/or modify (in a limited manner) this Intent. Pending Intents retain the UID of your application and all related permissions, allowing another application to act as yours.
File: myApp/classes_dex2jar/[folder structure for each java class listed above].java
More details: https://www.securecoding.cert.org/confluence/display/android/DRD21-J.+Always+pass+explicit+intents+to+a+PendingIntent

我真的不知道该怎么办。在我的代码中没有任何这些类，PendingIntent 也没有。(只有 1 个隐式 Intent 在浏览器中打开一个简单的链接，没有别的!)

有什么建议吗？？？

最佳答案

我自己回答，以便以后能帮助到需要的人。

简单地说，给我的报告是用旧版本的 QARK 生成的(2018 年 7 月开始，版本1.2，当前的是 4.0。)

在网上搜索我找到了this issue (现已关闭)据说:

"The blog posts are old and use the release version of QARK. In the newer version (with more checks, faster execution, and less false positives) we have a simple report for now. [...]".

祝大家好运，发展顺利! 🤞

关于java - Qark 报告 java 文件 : zzaup, zzst、zze、MediaButtonReceiver、TaskStackBuilder 上的 PendingIntent 安全问题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/57837122/

25

4

0

文章推荐： c++ - 在初始化期间将成员地址发送给父类安全吗？

文章推荐： java - 如何通过JSON获取特定格式的数据

文章推荐： c++ - 在 yaml-cpp 中操作节点

android - 为我的项目获取gradle错误多个dex文件定义了Lcom/google/android/gms/common/api/zze
我在我的项目中遇到错误，当我尝试构建项目时，多个dex文件定义了Lcom / google / android / gms / common / api / zzeonly。以下是我的gradle文件
android - 在模块中发现重复的类 com.google.android.gms.internal.vision.zze
我正在尝试使用 openCV 和 Firebase ML Kit 构建一个应用程序。但是在构建项目时出现以下错误: Duplicate class com.google.android.gms.int
android - 错误重复条目 : com/google/android/gms/common/api/zze. 类
我正在使用 Firebase 创建 Facebook 登录系统。但是当我编译项目时，它给了我: Error:Execution failed for task ':app:transformClas
java - Qark 报告 java 文件 : zzaup, zzst、zze、MediaButtonReceiver、TaskStackBuilder 上的 PendingIntent 安全问题
我正在开发一个已经存在的应用程序，我必须使用 QARK 测试代码安全漏洞(快速 Android 审查工具包)。当我运行此工具时，它会报告与未决 Intent 相关的问题: 在这些 Java 类中:

首页

博学

6Ren·AI

商城

java - Qark 报告 java 文件 : zzaup, zzst、zze、MediaButtonReceiver、TaskStackBuilder 上的 PendingIntent 安全问题