Fatal编程技术网
  • android/
  • android.permission.INTERNET尚未使用,无法通过浏览器发送CGI呼叫

android.permission.INTERNET尚未使用,无法通过浏览器发送CGI呼叫

android security browser

android.permission.INTERNET尚未使用,无法通过浏览器发送CGI呼叫,android,security,android-intent,browser,Android,Security,Android Intent,Browser,我没有在我的应用程序中使用以下权限: android.permission.INTERNET 但是,如果我有以下意图: android.intent.action.VIEW 使用类似以下内容的url: http://www.mysite.com/collectUsersStuff?UsersSecretStuff=hisSecret 它将打开一个提示打开chrome以连接到Web服务器。因此,我的观点是,即使没有我的应用程序清单中的互联网权限,我也可以从另一个处理网络呼叫的应用程序获得发送

我没有在我的应用程序中使用以下权限:

android.permission.INTERNET
但是,如果我有以下意图:

android.intent.action.VIEW
使用类似以下内容的url:

http://www.mysite.com/collectUsersStuff?UsersSecretStuff=hisSecret
它将打开一个提示打开chrome以连接到Web服务器。因此,我的观点是,即使没有我的应用程序清单中的互联网权限,我也可以从另一个处理网络呼叫的应用程序获得发送权限。是否有任何方法可以向用户保证我的应用程序不会利用此漏洞?

这不是一个漏洞。INTERNET权限允许你的应用访问网络站点。当您调用VIEW intent时,您是在告诉另一个应用程序打开该站点。这些应用程序具有互联网权限,这就是为什么它工作正常。

这不是一个缺陷。INTERNET权限允许你的应用访问网络站点。当您调用VIEW intent时,您是在告诉另一个应用程序打开该站点。这些应用程序都有互联网权限,这就是为什么它可以正常工作的原因。

那么问题是什么?标准浏览器可以查看网页,您可以从应用程序打开浏览器?恐怕这不是bug。我认为你的应用程序不会使用internet连接,而是应用程序启动的活动。因此,不需要互联网许可。你说的瑕疵是什么意思?请澄清。技术解释是:加载URL的浏览器具有权限
android.permission.INTERNET
。因此,实际上没有违反权限本身。间接地说,这可能被视为一个安全缺陷,我明白你的意思。据我所知,没有什么可以阻止这种情况发生。但不管“他的秘密”是什么,它很可能需要一些敏感权限,这会引起安装方面的担忧。此外,浏览器将可见地打开,URL也将可见。我想,这种奇怪的行为会很快让应用程序被标记。那么问题是什么呢?标准浏览器可以查看网页,您可以从应用程序打开浏览器?恐怕这不是bug。我认为你的应用程序不会使用internet连接,而是应用程序启动的活动。因此,不需要互联网许可。你说的瑕疵是什么意思?请澄清。技术解释是:加载URL的浏览器具有权限
android.permission.INTERNET
。因此,实际上没有违反权限本身。间接地说,这可能被视为一个安全缺陷,我明白你的意思。据我所知,没有什么可以阻止这种情况发生。但不管“他的秘密”是什么,它很可能需要一些敏感权限,这会引起安装方面的担忧。此外,浏览器将可见地打开,URL也将可见。我想,这种奇怪的行为会很快让应用程序被标记。你们怎么看不到这里的安全漏洞呢。向用户声明不在互联网上发送的应用程序将被下载。但随后它神奇地创建了一个由浏览器处理的web服务器调用。现在,我们告诉用户我们的应用程序不会打网络电话,但实际上我们只是通过浏览器打了电话。但我也明白你的意思,浏览器有权限而不是我的应用程序。对我来说,不应该允许从没有INTERNET权限的应用程序中调用任何使用INTERNET权限的应用程序。@j2emanue啊,我现在明白你的意思了。本质上,你是说,如果一个应用程序告诉用户选择的默认浏览器转到一个URL,该URL将导致它自动下载恶意软件(例如),这可能会在用户从未得到提示的情况下发生。正确吗?@j2emanue这种通信只会是单方面的,并且会受到所选浏览器和接收URL的web服务器可能施加的最大URL长度的限制。这是一个可能的漏洞,你可能想写博客,展示一些概念证明。但是,浏览器会明显打开并显示可疑的URL。它会在显而易见的情况下完成它的任务。我认为恶意应用程序开发者并不关心那些有安全意识的人。绝大多数用户不管需要什么权限都会安装应用程序。你们怎么看不到这里的安全漏洞呢。向用户声明不在互联网上发送的应用程序将被下载。但随后它神奇地创建了一个由浏览器处理的web服务器调用。现在,我们告诉用户我们的应用程序不会打网络电话,但实际上我们只是通过浏览器打了电话。但我也明白你的意思,浏览器有权限而不是我的应用程序。对我来说,不应该允许从没有INTERNET权限的应用程序中调用任何使用INTERNET权限的应用程序。@j2emanue啊,我现在明白你的意思了。本质上,你是说,如果一个应用程序告诉用户选择的默认浏览器转到一个URL,该URL将导致它自动下载恶意软件(例如),这可能会在用户从未得到提示的情况下发生。正确吗?@j2emanue这种通信只会是单方面的,并且会受到所选浏览器和接收URL的web服务器可能施加的最大URL长度的限制。这是一个可能的漏洞,你可能想写博客,展示一些概念证明。但是,浏览器会明显打开并显示可疑的URL。它会在显而易见的情况下完成它的任务。我认为恶意应用程序开发者并不关心那些有安全意识的人。绝大多数用户安装应用程序,不管他们需要什么权限。