OASAM-CONF-010: Improper Broadcast Receivers permissions

Descripción

En esta fase el atacante listará, para cada broadcast receiver, los permisos necesarios para su invocación. Con esta información es posible conseguir la superficie de ataque desde el entorno de la aplicación y desde fuera de la misma, de manera que el atacante pueda centrar mejor cómo atacará posteriormente a la seguridad de la aplicación.

Por ejemplo un broadcast receiver que realize funcionalidades que requieran permisos especiales y que pueda ser invocada desde fuera de la aplicación (está exportada) y no requiere permisos, compromete la seguridad porque posibilita que cualquier aplicación del dispositivo lo invoque.

Riesgos

El riesgo varía en función de lo sensible que sea la funcionalidad de cada broadcast receiver.

Recomendaciones

Como norma general, se recomienda requerir permisos en los broadcast receivers que realizen funcionalidad sensible, especialmente si se trata de broadcast receivers exportados.

Referencias

1. http://developer.android.com/guide/topics/security/permissions.html