OASAM-CONF-007: Improper Content Provider permissions

Descripción
Los Content Providers son la manera que hay en Android de compartir información entre aplicaciones mediante una API estructurada que permita mantener la integridad de los datos entre las mismas. Existe la posibilidad de establecer permisos de acceso y escritura a los Content Providers. Si no se establecen estos permisos, cualquier aplicación puede acceder a los datos almacenados en las mismas.
 

Riesgos
Una aplicación maliciosa podría acceder y/o modificar los datos almacenados en un Content Provider sin que el usuario fuera consciente, afectando a la integridad y confidencialidad de los mismos.


Recomendaciones
Se recomienda establecer permisos a los Content Providers, para ello se debe utilizar la directiva “uses permision”, como en el ejemplo indicado a continuación:
   <uses-permission android:name="android.permission.READ_USER_DICTIONARY">


Referencias
1. Flaw 27 de “42+ Best parctices in secure mobile development for iOS and Android”
2. http://developer.android.com/guide/topics/providers/content-provider-basics.html
3. http://developer.android.com/guide/topics/manifest/uses-permission-element.html