Nyní je naším cílem získat přístup k těmto informacím bez nutnosti kliknutí na toto tlačítko. Uvidíme, jak to udělat. Pohled na soubor AndroidManifest.XML odhalí následující položku spojenou s aktivitou. 

V MobSF:

• V nástroji MobSF si zobrazte přehled AndroidManifest.xml.
• Zajímá nás následující část XML
  <activity android:label="@string/apic_label"
  android:name="jakhar.aseem.diva.APICredsActivity">
  <intent-filter>
  <action android:name="jakhar.aseem.diva.action.VIEW_CREDS" />
  <category android:name="android.intent.category.DEFAULT" />
  </intent-filter>
  </activity>
• Tzn. <intent-filter> by nemělo být považováno za ochranný mechanismus - je veřejně exportovatelná, proto je tato aktivita zranitelná - lze ji vyvolat jakoukoliv aplikací zvenčí.

V Anboxu:

• Vypněte aplikaci DIVA.
• V terminálu zadejte

  adb shell am start jakhar.aseem.diva/.APICredsActivity

• Zobrazily se přístupové údaje, tak jako bychom to provedli přes DIVA - tzn. že něco takového by mohla udělat třeba i jiná aplikace.
• Formálně správněji by uvedený příkaz mohl být