在工作中,我们通过安全扫描工具运行我们的应用程序,该工具对漏洞进行静态分析。有时它会标记与安全无关但可能以其他方式导致问题的事物。在这种情况下,它抱怨Insufficient Privileges 处理不当。
以下是该工具的说明:
此应用程序调用 android.os.Looper.loop() API,它需要 AndroidManifest.xml 中未指定的以下权限:android.permission.RECEIVE_BOOT_COMPLETED。这些调用将不会被执行。根据实现,这种情况可能会导致错误消息,或者代码将静默失败。许可不足的条件不是可利用的缺陷,但它们可能表明存在意外代码(例如,广告库试图泄露用户的 GPS 位置)。
但是,API 文档根本没有提及android.permission.RECEIVE_BOOT_COMPLETED
值或AndroidManifest.xml
文件。
Looper.loop()调用是否android.permission.RECEIVE_BOOT_COMPLETED
真的需要,或者这是误报?