職場では、脆弱性の静的分析を行うセキュリティ スキャン ツールを使用してアプリを実行しています。場合によっては、セキュリティ関連ではなく、他の方法で問題を引き起こす可能性があるものにフラグを立てることがあります。この場合、不十分な権限の不適切な処理について不平を言っています。
ツールの説明は次のとおりです。
このアプリケーションは android.os.Looper.loop() API を呼び出します。これには、AndroidManifest.xml で指定されていない次の権限が必要です: android.permission.RECEIVE_BOOT_COMPLETED。これらの呼び出しは実行されません。実装によっては、この状態によってエラー メッセージが表示される場合や、コードがサイレント モードで失敗する場合があります。権限不足の状態は悪用可能な欠陥ではありませんが、予期しないコード (ユーザーの GPS 位置を漏らそうとする広告ライブラリなど) の存在を示している可能性があります。
ただし、API ドキュメントandroid.permission.RECEIVE_BOOT_COMPLETEDでは、値やAndroidManifest.xmlファイルについてはまったく言及されていません。
Looper.loop()呼び出しでandroid.permission.RECEIVE_BOOT_COMPLETED本当に必要ですか、それとも誤検知ですか?