HMS推送服务安全漏洞
HMS Push Service Security Vulnerability
我们的安全团队发现 Push Kit 库中存在不安全的功能,想知道它是否会在即将发布的版本中修复或保留,我们必须接受风险或是否可以进行任何定制克服安全问题:
意图验证不当 (CWE-925),应用权限 (MSTG-PLATFORM-1)
我们正在使用以下 sdk 版本:
implementation 'com.huawei.hms:hwid:5.0.1.300'
implementation 'com.huawei.hms:push:5.0.2.300'
详情如下:
服务:com.huawei.hms.support.api.push.service.HmsMsgService
SDK清单文件中的服务存在如下:
<service android:name="com.huawei.hms.support.api.push.service.HmsMsgService" android:enabled="true" android:exported="true" android:process=":pushservice" android:directBootAware="true">
<intent-filter>
<action android:name="com.huawei.push.msg.NOTIFY_MSG" />
<action android:name="com.huawei.push.msg.PASSBY_MSG" />
</intent-filter>
</service>
这意味着发现此服务与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。
所以,我们需要您的支持来添加 protectionLevel: signatureOrSystem 或通过受保护的权限 android:permission="PermissionName".
来保护它
非常感谢任何反馈。
经相关团队确认,HmsMsgService向HMS开放。 HMS启动后,会进行包名校验等校验。另外,该服务不是华为手机的消息接收模块,需要开放给HMS,HMS不能提前为应用设置权限。另外,服务有两层验证,即源包名验证和HMS签名验证,没有安全风险。
因此,HmsMsgService不会被其他应用程序使用,不会引起安全问题。本服务无需添加protectionLevel: signatureOrSystem或android:permission="permissionName",无安全隐患。请放心使用。
我们的安全团队发现 Push Kit 库中存在不安全的功能,想知道它是否会在即将发布的版本中修复或保留,我们必须接受风险或是否可以进行任何定制克服安全问题:
意图验证不当 (CWE-925),应用权限 (MSTG-PLATFORM-1)
我们正在使用以下 sdk 版本:
implementation 'com.huawei.hms:hwid:5.0.1.300'
implementation 'com.huawei.hms:push:5.0.2.300'
详情如下:
服务:com.huawei.hms.support.api.push.service.HmsMsgService
SDK清单文件中的服务存在如下:
<service android:name="com.huawei.hms.support.api.push.service.HmsMsgService" android:enabled="true" android:exported="true" android:process=":pushservice" android:directBootAware="true">
<intent-filter>
<action android:name="com.huawei.push.msg.NOTIFY_MSG" />
<action android:name="com.huawei.push.msg.PASSBY_MSG" />
</intent-filter>
</service>
这意味着发现此服务与设备上的其他应用程序共享,因此设备上的任何其他应用程序都可以访问它。
所以,我们需要您的支持来添加 protectionLevel: signatureOrSystem 或通过受保护的权限 android:permission="PermissionName".
非常感谢任何反馈。
经相关团队确认,HmsMsgService向HMS开放。 HMS启动后,会进行包名校验等校验。另外,该服务不是华为手机的消息接收模块,需要开放给HMS,HMS不能提前为应用设置权限。另外,服务有两层验证,即源包名验证和HMS签名验证,没有安全风险。
因此,HmsMsgService不会被其他应用程序使用,不会引起安全问题。本服务无需添加protectionLevel: signatureOrSystem或android:permission="permissionName",无安全隐患。请放心使用。