3

在工作中,我们通过安全扫描工具运行我们的应用程序,该工具对漏洞进行静态分析。有时它会标记与安全无关但可能以其他方式导致问题的事物。在这种情况下,它抱怨Insufficient Privileges 处理不当

以下是该工具的说明:

此应用程序调用 android.os.Looper.loop() API,它需要 AndroidManifest.xml 中未指定的以下权限:android.permission.RECEIVE_BOOT_COMPLETED。这些调用将不会被执行。根据实现,这种情况可能会导致错误消息,或者代码将静默失败。许可不足的条件不是可利用的缺陷,但它们可能表明存在意外代码(例如,广告库试图泄露用户的 GPS 位置)。

但是,API 文档根本没有提及android.permission.RECEIVE_BOOT_COMPLETED值或AndroidManifest.xml文件。

Looper.loop()调用是否android.permission.RECEIVE_BOOT_COMPLETED真的需要,或者这是误报?

4

2 回答 2

1

这不能是必需的。Looper.loop基本上每个 Android 程序都会调用,无论是在幕后还是公开地调用。我不明白他们为什么需要获得使用它的许可。即使是最简单的图形也需要显示...我敢肯定这是您使用的工具的误报。

于 2013-01-28T21:10:40.647 回答
0

它在这里:

http://developer.android.com/reference/android/Manifest.permission.html

它从 API 级别 1 开始就存在。不应该太复杂而无法修复。

于 2013-01-28T20:47:30.667 回答