【Scan kit】Sechunter针对统一扫码SDK扫出漏洞该如何解决?

​1、问题描述

项目中集成了华为统一扫码服务SDK,在做送检的准备工作时,针对apk进行了一系列的漏洞扫描处理,其中统一扫码服务SDK在扫描结果中呈现出了少许的漏洞,需要SDK团队针对漏洞问题做出说明。

 

2、问题详情

关于漏洞出现的代码处以及漏洞的相关描述,如下所示:

 

①、Activity劫持检测

cke_6204.png

com/huawei/hms/hmsscankit. RemoteView

cke_7617.png

 

②、权限检测

cke_8923.png

cke_10497.png

com/huawei/hms/framework. NetworkUtil

cke_12015.png

cke_13604.png

 

③、攻击窗口检测

cke_15299.png

com/huawei/hms/framework/common.ContextCompat

cke_17258.png

cke_19083.png

 

④、证书验证方法检测

cke_21040.png

com/huawei/hms/framework/network/grs/h/f/a.java

cke_23400.png

com/huawei/hms/hatool/a0.java

cke_25872.png

 

⑤、Service劫持检测

cke_28028.png

com/huawei/hms/framework/common/ContextCompat.java

cke_30268.png

 

3、解释说明

针对以上漏洞问题,在咨询了SDK团队之后,给出了如下结论:

com/huawei/hms/hmsscankit. RemoteView

结论:已经对Intent进行了判空校验以及异常捕获。

com/huawei/hms/framework. NetworkUtil

结论:应用中没有对该方法不会得到执行。

com/huawei/hms/framework/common.ContextCompat

结论:应用中没有对该方法不会得到执行。

com/huawei/hms/framework/network/grs/h/f/a.java

com/huawei/hms/hatool/a0.java

结论:SDK重写sslSocketFactory,以过滤TSL1.2以下安全协议,以及过滤MD5等不安全加密算法。

com/huawei/hms/framework/common/ContextCompat.java

结论:应用中没有对该方法不会得到执行。

欲了解更多更全技术文章,欢迎访问https://developer.huawei.com/consumer/cn/forum/?ha_source=zzh

posted @ 2022-08-27 10:11  华为开发者论坛  阅读(160)  评论(0编辑  收藏  举报