0x1 活动（界面 activity）

  1.活动（界面 activity）

用户操作的可视化界面，它为用户提供了一个完成操作指令，例如点击，滑动等等的窗口。

  2.操作指令，例如在界面上点击，滑动等等

0x2 服务（service）

  1.服务（service）

service用于在后台完成用户指定的操作。

  2.在后台自己去完成，不需要用户操作，例如更新。

0x3 广播接受者(Broadcast Receive)

  1.广播接受者(Broadcast Receive)

不同应用程序之间传输信息的机制。

  2.例如写一个app，给手机电池app发送一个查询当前手机电量的消息，系统接受这个广播就会把消息传递过去。

0x4 内容提供者(Content Provider)

  1.内容提供者(Content Provider)

为其他应用提供数据,比如sqlite数据库。

0x5 组件安全

  1.activity

点击劫持，例如有一个app开发了一个透明界面，覆盖在你的程序界面上，输入账号密码时或被恶意程序劫持。

拒绝服务，没有对参数过滤，被别的程序调用时，恶意耗尽资源。

组件导出，在androld manitest 定义了这个组件导出功能之后，可能存在漏洞。

  2.service

串谋攻击，例如恶意程序没有权限读取手机通讯录，可以通过向其他有权限读取通讯录的应用程序发送消息间接的查询。

拒绝服务，程序能被别的程序调用，就有可能造成拒绝服务攻击。

  3.Broadcast Receive

恶意广播，没有对参数过滤，可以收到一些垃圾广播。

  4.Content Provider

Sqlite数据库SQL注入，如果没有加密，可能在应用程序的安装目录找到找到一些敏感信息，日志，cookie等等。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界