MASWE-0065: 敏感数据被永久性地与其他应用共享

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个占位符。但您可以检查其状态或自行着手处理。如果此问题尚未分配，您可以请求将其分配给您，并按照我们的指南提交包含该弱点新内容的 PR。

查看 MASWE-0065 的 GitHub 问题

初始描述或提示

向客户端提供一次性数据访问权限。例如，使用 URI 权限授予标志和内容提供器权限，在单独的 PDF 查看器应用中显示应用的 PDF 文件。

相关主题

• 内容提供器
• FLAG_GRANT_READ_URI_PERMISSION
• FLAG_GRANT_WRITE_URI_PERMISSION
• FLAG_GRANT_PERSISTABLE
• 内容 URI
• 文件 URI

参考资料

• https://developer.android.com.cn/topic/security/risks/content-resolver
• https://developer.android.com.cn/reference/androidx/core/content/FileProvider
• https://developer.android.com.cn/topic/security/risks/file-providers
• https://developer.android.com.cn/privacy-and-security/security-tips#ContentProviders

MASTG v1 覆盖范围

• MASTG-TEST-0007 - 确定敏感存储数据是否通过 IPC 机制暴露 (Android)
• MASTG-TEST-0056 - 确定敏感数据是否通过 IPC 机制暴露 (iOS)