自定义公共事件未加权限校验会有安全风险
发送通知使用系统API publish实现,通知中会构建一个WantAgentInfo,其实包含业务场景的用户操作 actionButtons(用户的点击动作),例如通话中的挂断、拒接等,当用户操作通知后会发送对应的公共事件。
发送时WantAgentInfo中包含BundleName,但是在接收时这个值并不能用来校验发送方的身份,因为这个值表示希望接收的应用包名。
问题影响:
在通话退到后台成功发送通知时,在命令窗口执行命令:hdc shell cem publish -e 'hangUp',电话会挂断。
由于在接收时并没有校验发送方的身份,导致可以模拟对应的公共事件,影响业务。
HarmonyOS
赞
收藏 0
回答 1
相关问题
HarmonyOS @ohos.commonEventManager (公共事件模块)可以订阅自定义的公共事件吗
930浏览 • 1回复 待解决
如何通过自定义公共事件实现进程间的通信?
1235浏览 • 1回复 待解决
HarmonyOS如何自定义公共事件,实现appA与appB之间互相通信
781浏览 • 1回复 待解决
HarmonyOS 公共事件的多次subscribe或者unsubscribe会有什么效果?
888浏览 • 0回复 待解决
无序公共事件、有序公共事件和粘性公共事件三者有什么区别?
1319浏览 • 1回复 待解决
#鸿蒙学习大百科#开发者如何发布一个自定义公共事件?
1114浏览 • 1回复 待解决
用户订阅系统公共事件
1966浏览 • 1回复 待解决
公共事件有哪些简单使用
1748浏览 • 1回复 待解决
公共事件实现跨进程通信
1630浏览 • 1回复 待解决
如何把公共事件发布给其他设备
5010浏览 • 1回复 待解决
公共事件的生命周期是怎样的
2346浏览 • 1回复 待解决
#鸿蒙通关秘籍#如何管理自定义安全键盘的按键事件?
1141浏览 • 1回复 待解决
HarmonyOS 自定义组件如何写自定义事件?
1566浏览 • 1回复 待解决
HarmonyOS组件安全风险咨询
774浏览 • 1回复 待解决
HarmonyOS 怎么监听从HarmonyOS应用中心回到桌面的事件,或者监听公共事件
718浏览 • 1回复 待解决
HarmonyOS 自定义了一个组件,如何自定义事件?使其能在父组件使用其自定义事件
812浏览 • 1回复 待解决
HarmonyOS 订阅蓝牙开关的 打开状态 的公共事件失败
873浏览 • 1回复 待解决
HarmonyOS 能否监听设备SIM卡TF卡插入拔出公共事件?
1154浏览 • 1回复 待解决
HarmonyOS 自定义@CustomDialog布局下面会有留白
933浏览 • 1回复 待解决
#鸿蒙学习大百科#如何实现公共事件的动态订阅?
876浏览 • 0回复 待解决
如何监听系统公共事件,如熄屏、亮屏、开机等
2952浏览 • 1回复 待解决
HarmonyOS 组件是否支持自定义事件
846浏览 • 1回复 待解决
返回按钮是否可以自定义事件?
1005浏览 • 1回复 待解决
HarmonyOS webview自定义长按手势事件
972浏览 • 1回复 待解决
HarmonyOS 自定义组件的事件处理
1268浏览 • 1回复 待解决
1、在接收公共事件的时候可以使用系统级别权限校验发送方的身份;在接收公共事件的订阅信息 CommonEventSubscribeInfo 中包含 publisherPermission,表示发送方只有这个权限才可以将此公共事件发送到订阅方;
2、尝试使用现有的系统公共事件或者申请将目标事件列为系统级别的公共事件;