Reino: Input Validation and Representation
Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.
Fragment Injection
Abstract
Uma atividade do Android estendendo
PreferenceActivity
não consegue restringir as classes de fragmento que pode instanciar.Explanation
Um aplicativo malicioso pode invocar uma
Exemplo 1: O código a seguir falha ao implementar uma verificação para verificar se somente fragmentos esperados são carregados.
PreferenceActivity
insegura e fornecê-la com uma Intenção :android:show_fragment
extra a fim de fazê-lo carregar uma classe arbitrária. O aplicativo malicioso pode tornar a carga de PreferenceActivity
um Fragment
arbitrário do aplicativo vulnerável que, normalmente, é carregado em uma Atividade não exportada, expondo-a ao invasor.Exemplo 1: O código a seguir falha ao implementar uma verificação para verificar se somente fragmentos esperados são carregados.
@Override
public static boolean isFragmentValid(Fragment paramFragment)
{
return true;
}
References
[1] Roee Hay A New Vulnerability in the Android Framework: Fragment Injection
desc.structural.java.fragment_injection