脆弱性対策体験
サンプルアプリの修正が完了したら、以下の手順に従って脆弱性が修正されたかどうか確認してみましょう。
サンプルアプリの実行
以下の手順に従ってサンプルアプリを実行します。
修正したサンプルアプリをインストールおよび実行
脆弱性対策方法
を基に修正したサンプルアプリ「05データバックアップ」を端末にインストールして実行します。
続いて、サンプルアプリ「05データバックアップクライアント」を実行し、Serviceを起動します。
攻撃アプリの実行
脆弱性対策が正しく行われたか、攻撃アプリを再度実行してみましょう。
端末(またはエミュレータ)のアプリ一覧画面(ドロワー)上で、攻撃アプリのアイコン「05データバックアップスパイ」をタップし、攻撃アプリを起動します。
攻撃アプリの起動
結果の確認
攻撃者アプリが送信したIntentは、Serviceに送信されますが、攻撃アプリはPermissionの利用を宣言していないため、IntentはServiceに届きません。 そのため「05データバックアップ」アプリはIntentを受信せず、攻撃は失敗します。
これにより正しく対策されていることが分かります。
実行結果の確認
これで、公開コンポーネントのアクセス制限不備についての学習は終了です。