Les activités utilisant les deeplinks étant exportées, n'importe quel application y a accès, Si celui-ci n'est pas correctement configuré, il est alors possible de créer une application utilisant exactement le même deeplink afin de potentiellement pouvoir intercepter des données sensibles.

ressource: https://hackerone.com/reports/855618