我们的安全团队在Push Kit库中发现了不安全的功能,我们想知道它是否会在即将到来的版本中得到修复或保留,我们必须接受风险,或者是否可以进行任何定制来克服安全问题:
意图验证不当(CWE-925(、应用程序权限(MSTG-PLATFORM-1(
我们正在使用以下sdk版本:
implementation 'com.huawei.hms:hwid:5.0.1.300'
implementation 'com.huawei.hms:push:5.0.2.300'
下面是详细信息:
服务:com.huawei.hms.support.api.push.Service.HmsMsgService
SDK清单文件中的服务如下所示:
<service android:name="com.huawei.hms.support.api.push.service.HmsMsgService" android:enabled="true" android:exported="true" android:process=":pushservice" android:directBootAware="true">
<intent-filter>
<action android:name="com.huawei.push.msg.NOTIFY_MSG" />
<action android:name="com.huawei.push.msg.PASSBY_MSG" />
</intent-filter>
</service>
这意味着发现该服务与设备上的其他应用程序共享,从而使设备上的任何其他应用程序都可以访问该服务。
因此,我们需要您的支持来添加protectionLevel: signatureOrSystem或通过受保护的权限android:permission="PermissionName"来保护它。
如有任何反馈,我们将不胜感激。
经相关团队确认,HmsMsgService对HMS开放。HMS启动后,将执行包名称验证和其他验证。此外,该服务不是华为手机的消息接收模块,需要向HMS开放,HMS无法提前设置应用程序的权限。此外,该服务有两层验证,即源包名称验证和HMS签名验证,不存在安全风险
因此,HmsMsgService将不会被其他应用程序使用,也不会导致安全问题。此服务不需要添加protectionLevel: signatureOrSystem或android:permission="permissionName",不存在安全风险。请随时使用。