android6.0漏洞修补,关于Android漏洞风险说明及修复方案

陆续收到开发者同学反馈在腾讯云、百度云、爱加密等平台检测到 uni-app 或 5+ App 的漏洞风险问题。我们也在不断跟进和修复。

目前收集到的相关漏铜风险分为高风险、中风险和低风险三种危险程度。

高风险：可被恶意程序利用 且几乎不需要认证

中风险：可能被中级入侵经验者利用、且不一定需要认证

低风险：仅可能被本地利用且需要认证

风险问题多数为低风险。理论上这些低风险也不会影响应用的安全质量。对于高中漏洞风险的问题我们会优先处理！

收集到漏洞风险问题分为：

DCloud代码漏洞风险 ：我们可以操作修改问题。或提供配置让用户抉择。

三方SDK模块漏洞风险问题 ：由于没有源码。无法操作修改。用户可以抉择是否使用该模块来规避风险问题

修复方案

目前会根据漏洞风险等级优先处理中高级，但可能每次版本修复的问题与开发者遇到的风险问题不一致。建议开发者同学先使用APK加固来加强应用的安全性使应用可以安全上架！等待后续版本修复相关问题。

对于三方SDK漏洞问题，需要开发者同学积极反馈敦促相关平台提供修复漏洞风险问题的SDK。我们也会留意平台更新。并及时更新到模块中！

DCloud代码漏洞风险 修复记录

HX3.1.14版本

修复以下漏洞风险问题

修复已知WebView File域同源策略绕过漏洞问题

修复已知Android平台WebView控件跨域访问高危漏洞问题

修复已知Webview绕过证书校验漏洞问题 需配置后生效

修复已知Android主机名\证书弱校验风险问题 需配置后生效

Webview绕过证书校验漏洞与Android主机名\证书弱校验风险 需要配置才能生效。具体如下：

配