Androidアプリの「stickyブロードキャストを配信」権限の危険性
今までAndroidスマホのユーザーデータの流出を抑えるために、不必要にフルインターネットアクセス権限を持つアプリをインストールしないようにしてきました。
しかし、「stickyブロードキャストを配信」権限を使うと、「フルインターネットアクセス」権限を持っていなくても使用者のデータを不正に送信(流出)できるセキュリティーリスクが有るのでは?と心配になっています。
実際はどうなのでしょうか?
10 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
Android 5.0(API レベル 21)で非推奨なっており
警鐘が出ておりますが
スティッキー ブロードキャスト | App quality | Android Developers
https://developer.android.com/privacy-and-security/risks/sticky-broadcast?hl=ja
>> よっちおじさん さん
非推奨&警鐘という事は、有効を意味していると考えられます。セキュリティーホールとは、そういう所に多く発生するのではないでしょうか?>> よっちおじさん さん
現在、軽く調べただけでもstickyブロードキャスト権限は「google map」「google」「Androidシステム」「電話」「電話サービス」に入っていました。>> 24で03 さん
stickyブロードキャスト権限とブロードキャスト権限と混同していませんか?>> よっちおじさん さん
私が書いたstickyブロードキャスト権限とはandroid.permission.BROADCAST_STICKY を差します。とりあえずマップ見ましたけど、stickyブロードキャスト権限、持ってますね。
>> 24で03 さん
通常 保護レベルでノーマルな普通のパーミッションではないでしょうか?Androidで許可が必要なパーミッション(権限)の一覧と見分け方 - 365連休
https://neet-rookie.hatenablog.com/entry/Androidのパーミッションと保護レベル
>> よっちおじさん さん
配信には必要最低限のパーミッションですManifest.permission | Android Developers
https://developer.android.com/reference/android/Manifest.permission
>> よっちおじさん さん
この議題で重要なのは、stickyブロードキャスト権限のセキュリティーリスクであって、「配信には必要」「普通のパーミッション」ではないと思います。>> よっちおじさん さん
さらに、「非推奨」であっても利用可能である(利用されている)以上関係ないと思います。「許可が必要」も関係ないと思います。許可が不要である方が気づきにくく、かつ不許可にも出来ない、というとことだと思います。