MASWE-0062: 不安全服务

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个**占位符**。但您可以查看其状态或自行着手处理。如果问题尚未分配，您可以请求将其分配给您，并按照我们的准则提交包含该弱点新内容的 PR。

查看 MASWE-0062 的 GitHub Issues

初始描述或提示

意外导出的服务，不受限制的权限。暴露的 Binder，例如未使用 checkCallingPermission() 来验证调用者是否拥有所需权限。

相关主题

• 服务
• 通过导出的服务暴露的 Binder

参考资料

• https://developer.android.com.cn/privacy-and-security/security-tips#Services
• https://developer.android.com.cn/guide/topics/manifest/service-element
• https://developer.android.com.cn/reference/android/app/Service
• https://developer.android.com.cn/privacy-and-security/security-tips#binder-and-messenger-interfaces

MASTG v1 覆盖范围

• MASTG-TEST-0030 - 测试 PendingIntent 的脆弱实现 (android)
• MASTG-TEST-0029 - 测试通过 IPC 暴露的敏感功能 (android)
• MASTG-TEST-0072 - 测试应用扩展 (ios)
• MASTG-TEST-0071 - 测试 UIActivity 共享 (ios)
• MASTG-TEST-0070 - 测试通用链接 (ios)
• MASTG-TEST-0073 - 测试 UIPasteboard (ios)