HMS推送服务安全漏洞

HMS Push Service Security Vulnerability

我们的安全团队发现 Push Kit 库中存在不安全的功能,想知道它是否会在即将发布的版本中修复或保留,我们必须接受风险或是否可以进行任何定制克服安全问题:

意图验证不当 (CWE-925),应用权限 (MSTG-PLATFORM-1)

我们正在使用以下 sdk 版本:

implementation 'com.huawei.hms:hwid:5.0.1.300'

implementation 'com.huawei.hms:push:5.0.2.300'

详情如下:

服务:com.huawei.hms.support.api.push.service.HmsMsgService

SDK清单文件中的服务存在如下:

<service android:name="com.huawei.hms.support.api.push.service.HmsMsgService" android:enabled="true" android:exported="true" android:process=":pushservice" android:directBootAware="true">

<intent-filter>

<action android:name="com.huawei.push.msg.NOTIFY_MSG" />

<action android:name="com.huawei.push.msg.PASSBY_MSG" />

</intent-filter>

</service>

这意味着发现此服务与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。

所以,我们需要您的支持来添加 protectionLevel: signatureOrSystem 或通过受保护的权限 android:permission="PermissionName".

来保护它

非常感谢任何反馈。

经相关团队确认,HmsMsgService向HMS开放。 HMS启动后,会进行包名校验等校验。另外,该服务不是华为手机的消息接收模块,需要开放给HMS,HMS不能提前为应用设置权限。另外,服务有两层验证,即源包名验证和HMS签名验证,没有安全风险。

因此,HmsMsgService不会被其他应用程序使用,不会引起安全问题。本服务无需添加protectionLevel: signatureOrSystemandroid:permission="permissionName",无安全隐患。请放心使用。