search

luckybilly / CC

业界首个支持渐进式组件化改造的Android组件化开源框架,支持跨进程调用。Componentize your android project gradually.
https://luckybilly.github.io/CC-website/
Apache License 2.0
4.05k stars 635 forks source link

1.1.0 版本 该Apk 中的Broadcast Receiver组件开启了导出权限,存在组件导出风险。 #103

Closed Aarthas closed 5 years ago

Aarthas commented 5 years ago

安全检测的时候发生如下情况 1.1.0 版本 该Apk 中的Broadcast Receiver组件开启了导出权限,存在组件导出风险。 [文件]: AndroidManifest.xml [代码]:

可否单独配置

luckybilly commented 5 years ago

先回答你的问题是“可否单独配置”,答案是:可以在打正式包之前在主app module/AndroidManifest.xml中复写该Broadcast Receiver的配置,设置exported="false"。因为正式包是不需要跨app调用组件的,所以没有其它影响。

其实,只要在打正式包时没有打开跨app组件调用(CC.enableRemoteCC(true)),ComponentBroadcastReceiver 虽然能接收到外部发的广播,但不会响应,没有安全问题。

image

建议尽早按照升级指南升级到最新版。需要做的也只是将原来的cc-settings.gradle换成cc-settings-2.gradle, 组件的定义及调用都是向下兼容的。