1、问题描述
项目中集成了华为统一扫码服务SDK,在做送检的准备工作时,针对apk进行了一系列的漏洞扫描处理,其中统一扫码服务SDK在扫描结果中呈现出了少许的漏洞,需要SDK团队针对漏洞问题做出说明。
2、问题详情
关于漏洞出现的代码处以及漏洞的相关描述,如下所示:
①、Activity劫持检测
com/huawei/hms/hmsscankit. RemoteView
②、权限检测
com/huawei/hms/framework. NetworkUtil
③、攻击窗口检测
com/huawei/hms/framework/common.ContextCompat
④、证书验证方法检测
com/huawei/hms/framework/network/grs/h/f/a.java
com/huawei/hms/hatool/a0.java
⑤、Service劫持检测
com/huawei/hms/framework/common/ContextCompat.java
3、解释说明
针对以上漏洞问题,在咨询了SDK团队之后,给出了如下结论:
com/huawei/hms/hmsscankit. RemoteView
结论:已经对Intent进行了判空校验以及异常捕获。
com/huawei/hms/framework. NetworkUtil
结论:应用中没有对该方法不会得到执行。
com/huawei/hms/framework/common.ContextCompat
结论:应用中没有对该方法不会得到执行。
com/huawei/hms/framework/network/grs/h/f/a.java
com/huawei/hms/hatool/a0.java
结论:SDK重写sslSocketFactory,以过滤TSL1.2以下安全协议,以及过滤MD5等不安全加密算法。
com/huawei/hms/framework/common/ContextCompat.java
结论:应用中没有对该方法不会得到执行。
欲了解更多更全技术文章,欢迎访问https://developer.huawei.com/consumer/cn/forum/?ha_source=zzh
