CWE ID: 925
Name: Improper Verification of Intent by Broadcast Receiver
Die Android-Anwendung verwendet einen Broadcast Receiver, der eine Intent empfängt, diese aber nicht ordnungsgemäß auf eine autorisierte Quelle verifiziert.
Bestimmte Intent-Typen, identifizierbar anhand des Action Strings, dürfen ausschließlich vom Betriebssystem selbst, nicht aber von Drittanbieter-Anwendungen, verbreitet werden. Wenn eine Anwendung sich jedoch registriert, um diese impliziten System-Intents zu empfangen, registriert sie sich gleichzeitig auch für den Empfang expliziter Intents. Obwohl eine bösartige Anwendung keine implizite System-Intent versenden kann, kann sie eine explizite Intent an die Zielanwendung senden. Diese Zielanwendung könnte fälschlicherweise annehmen, dass jede empfangene Intent eine gültige implizite System-Intent und keine explizite Intent von einer anderen Anwendung ist. Dies kann zu unbeabsichtigtem Verhalten führen.
Effektivität: Unknown
Beschreibung: Bevor Sie auf die Intent reagieren, überprüfen Sie den Intent Action, um sicherzustellen, dass er mit der erwarteten System-Action übereinstimmt.
