标签[android-security] - 堆栈内存溢出

onReceivedSslError 已修复但仍显示错误 - onReceivedSslError fixed but still showing error

如屏幕截图所示，我的 Play 控制台帐户中出现“onReceivedSslError”错误。我已经处理了所有 WebViewClient 中的 onReceivedSslError 并显示了所需的警告消息。然后我将版本发送到市场并获得批准。版本已经发布了，但是还是说这个错误在这个版本，如上 ...

AES/ECB/PKCS5Padding 不安全加密模式错误 - AES/ECB/PKCS5Padding Unsafe Encryption Mode error

我收到来自谷歌的警告，将加密模式从“AES/ECB/PKCS5Padding”更改为“AES/GCM/NoPadding”。更改后，我需要与使用“AES/ECB/PKCS5Padding”加密的旧数据兼容。你能帮忙解决这个问题吗？现在我正在使用简单的 try catch。 ...

我已经更新了一个库的版本：` 我看到有新的可能错误，我想知道如何处理它们！ Ide 显示 switch 语句的错误警告：那是我在更新库之前的代码：在阅读每个错误代码的文档后，我将代码更改为：这是最好的选择吗？它是否存在一些隐藏的问题？非常感谢您提前:)。 ...

关于 Jetpack Compose 的反思 - Reflection on Jetpack Compose

目前，我正在创建一个新的 SDK，其中包含消费者不应读取的敏感字段（想想信用卡号码字段），我正在使用 Jetpack Compose 创建 forms，我的问题是，是否可以这样做对 Jetpack Compose 的反思，例如损害用户隐私并读取他们的信用卡号码？我尝试通过反射读取声明的字段/声明的 ...

AES/ECB/NoPadding 不安全加密模式错误 - AES/ECB/NoPadding Unsafe Encryption Mode error

我在 Google Play 中遇到错误，AES/ECB/NoPadding 不安全加密模式使用，我依靠它与现场的信标通信，以及我的 API（也使用此加密）。它不包含用户数据，仅包含与现场信标通信的内部协议数据（我使用 AES/ECB/NoPadding 加密此内部数据）。我需要一个能够更新应用 ...

弗里达：挂钩 function 时没有任何反应 - Frida: nothing happens when hooking function

您好，我正在尝试挂接在某个接口中存储变量的 function，但是当我这样做时，没有任何反应，没有错误，没有日志。 Function 我试图钩看起来像这样： a是 function 我正在挂钩， c是一个接口，看起来像这样：这是一些随机的 class，如下所示：我正在运行用于挂钩功能的标准 ...

Android：有没有办法只锁定（阻止）某些活动？ - Android: Is there an idea to lock (block) only certain activity?

Android：我不想阻止整个应用程序（AppLock 会这样做），但我只想阻止它的某个活动。有什么想法或应用程序？ ...

使用团队演示共享手机屏幕时，如何检测 android 中的屏幕镜像？ - How to detect screen mirroring in android when my mobile screen is shared using teams presentation?

为了增强我的 Android 应用程序的安全性，我需要检测屏幕镜像。我在下面的源代码中实现了这个：var display : DisplayManager = getSystemService(DISPLAY_SERVICE) as DisplayManager var presentatio ...

如何解决意图重定向？ - How to solve intent redirection?

我们通过Remediation for Intent Redirection Vulnerability添加了选项 3 但仍然拒绝了我们的应用程序。有人可以帮忙吗？谢谢。 ...

如何在 Flutter App 中为 VAPT 团队禁用 SSL 固定和根检测？ - How to disable SSL Pinning & Root Detection in Flutter App for VAPT Team?

第三方公司的 VAPT（漏洞评估和渗透测试）团队要求我们在我们的 Flutter 应用程序的发布构建 apk 中禁用 SSL 固定和根检测。我们已经尝试在 pub.dev 上使用包，但目前只有 root 检测和 SSL Pinning 检测包。请指导我们使用适当的步骤禁用 SSL 固定和根检测 ...

Android上本地柜台的安全管理 - Secure management of local counter on Android

我想开发一个简单的 Android 应用程序，通过以下方式授权访问服务器：该应用程序存储了一个本地计数器t_count的访问令牌，该计数器在t_count = X处初始化；每当用户想要访问服务器时，应用程序都会签署一份证明，证明它使用了一个令牌，并通过本地连接将其发送到服务器；一 ...

Android 12 应用程序可以访问设备的哪些唯一硬件身份信息 - What Unique Hardware Identity Information Can Android 12 Apps Access to the Device

我想知道应用程序可以获得哪些有关硬件 ID 的信息。用户应用程序可以访问哪些特定于设备的凭据，例如 Mac 地址、蓝牙 Mac 地址、IMEI。 ...

意图重定向漏洞 - Intent Redirection Vulnerablity

当我上传我的 Android 包时，我从 Play 控制台收到了以下邮件。意图重定向您的应用程序容易受到意图重定向的影响。要解决此问题，请按照这篇 Google 帮助中心文章中的步骤操作。 com.facebook.CustomTabMainActivity.onCreate 我的 Andro ...

您的应用程序正在使用易受跨应用程序脚本攻击的 WebView - Your app(s) are using a WebView that is vulnerable to cross-app scripting

由于以下原因，我的 android 应用一直被拒绝：您的应用使用的 WebView 容易受到跨应用脚本攻击。我已经进行了广泛的搜索，发现了一些我可以做的事情：按照https://support.google.com/faqs/answer/9084685上的步骤操作。由于我使用的是启动器，因 ...

如何在不公开源代码的情况下提供 Android 库 - How to provide an Android library without exposing the source code

有时当你调试 Android 库代码时，你可以看到库的实现，但还有其他库，当你尝试检查任何 function 的实现时，你会看到所有函数的主体都包含一行代码抛出异常（以某种方式隐藏了真正的实现）。我想在商业图书馆中这样做，我尝试了R8 ，但实现仍然可以访问。任何人都可以帮助或给我提示吗？注意： ...

如何通过故意破坏我的 SQLite 数据库来保护它，然后通过代码修复它？ - How to protect my SQLite db by intentionally corrupting it, then fix it through code?

这是我在 Android 上使用 Java 和 SQLite 的第一个应用程序。问题：我的应用程序上有一个本地 SQLIte 数据库。我很惊讶地发现安装应用程序后访问数据库是多么容易（不需要成为程序员或黑客）。我尝试将 SQLCipher 添加到我的应用程序，但它仅适用于较新的 Andro ...

(GCP) API 个密钥。您的应用包含公开的 Google Cloud Platform (GCP) API 密钥 - (GCP) API keys. Your app contains exposed Google Cloud Platform (GCP) API keys

在 Google Play 商店控制台中上传构建时出错。错误如下。泄露的 GCP API 密钥您的应用程序包含暴露的 Google Cloud Platform (GCP) API 密钥。罪魁祸首代码如下。根据文档，我正在从 BuildConfig 读取密钥并限制密钥。但仍然是同样的问题。 ...

多个 Android 应用程序（同一设备）可以使用 FIDO 2 协议共享相同的密钥对进行无密码身份验证吗？ - Can multiple Android Applications(same device) share same key-pair for Passwordless Authentication using FIDO 2 Protocol?

问题陈述：我想使用FIDO2协议解决Android应用程序的用户认证（通过提供SDK），而不是在同一设备上为不同的应用程序做多个注册仪式。例如，如果用户已在 Android 应用程序 A 中注册（生成公私密钥对），则不应要求他/她在 Android 应用程序 B 中注册（假设应用程序 A 和应 ...

R8 混淆似乎引入了隐式内部意图漏洞？ - R8 obfuscation appears to introduce Implicit Internal Intent Vulnerability?

在我的发布前报告中遇到此安全错误问题。我相信我已经完成了所有需要的工作，但是这个错误仍然存在。当我检查详细信息时，它显示是导致问题的混淆方法。如果我尝试使用 retrace 和 mapping.txt，则找不到。也许最令人不安的是，我将构建推送到我的内部测试轨道，并更改了以下 gradle ...

如何在我的 Android 应用程序中使用用户自己的短信服务发送 OTP 并进行手机号码验证？ - How can I use a user's own SMS service to send OTP and make mobile number verification in my Android app?

我创建了一个小方法来做到这一点。如下首先我生成了一个小的随机6位代码（OTP）然后，我将此 OTP 发送到用户输入的手机号码，我必须验证，我正在使用用户自己的短信服务来执行此操作然后，我创建 Intent，开始新活动并将 OTP 传递给新活动然后，我只是让用户输入他从 SMS 收到的 OT ...