OASAM-UIR-004: Weakness Special Intents

Descripción
Si un Intents implícito es enviado para tratar con un Content Provider, puede contener información sensible en la URI, esta podría ser leída si un componente malicioso intercepta el Intent.
Por otro lado, un Pending Intent retiene los permisos de su creador por lo que si un componente malicioso interceptara un Pending Intent podría utilizar los permisos del creador del Pending Intent para suplantarle.


Riesgos
La presencia de esta vulnerabilidad permite la fuga de información que incluída en la URI.
Adicionalmente, esta vulnerabilidad le permite al atacante suplantar los permisos del creador de un Pending Intent.


Recomendaciones
Se recomienda evaluar la necesidad de enviar Intents implícitos. Para comunicar Intents dentro de una aplicación, es siempre recomendable el uso de Intent explícitos. Si es necesario enviar datos sensibles dentro de un Intent, se recomienda protegerlos mediante el establecimiento de permisos y el uso de cifrado para dichos datos


Referencias
1. Flaw 3.1.4 de “Analyzing Inter-Application Communication in Android”
2. http://developer.android.com/reference/android/app/PendingIntent.html