该漏洞的描述见链接文章:主要的原因是使用了Intent中getSerializableExtra() 的API,如果攻击程序使用了app未定义的序列化类,该方法抛出异常,如果未捕获该异常,则导致应用不断crash。如果Activity不需要对外暴漏,则将exported置为false即可。此外,就是针对API的所有使用都加入try catch。但在上周的发布中,差点因为这个改动导致线上问题。当使用pendingIntent建立的notification拉起Activity时,,如果将其设置为false,则该Activity不会响应,因为pendingIntent为系统application。Android下Activity通过UI总线对外暴露的三个层次1. 不对外暴露:应设置android:exported="false",如:
青春一经典当即永不再赎
