android 组件安全,Android 组件安全

最新推荐文章于 2024-05-23 22:39:47 发布
转载 最新推荐文章于 2024-05-23 22:39:47 发布 · 463 阅读 · 3
文章标签:

#android 组件安全

本文聚焦Android四大组件(Activity、Service、BroadcastReceiver、ContentProvider)的安全问题。阐述了组件能否被外部调用取决于AndroidManifest.xml中export标签的布尔值及默认规则,还介绍了通过定义权限增加组件安全的方法,以及Intent启动不同组件的方式和ContentProvider的安全设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大组件,他们的安全性是非常重要的。四大组件的安全漏洞主要集中在是否可以被外部调用,外部调用是否存在风险。

四大组件是否可以被外部调用,决定因素是在AndroidManifest.xml里面定义的四大组件的标签export的布尔值。如下:

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog"

android:export="true">

export为true,表示PartActivity可以被外部调用。export如果为false,表示PartActivity不可以被外部调用。

我们注意到我们在定义四大组件时,经常是不写export这个标签的,那么系统默认的export是什么呢?

(1)、如果四大组件包含intent-filter,那么Android系统认为这个组件可以被外部通过隐式调用,所以默认export为true。

android:name=".MainActivity"

android:label="MainActivity" >

(2)、如果四大组件不包含intent-filter,那么Android系统认为这个组件值只可以被内部通过显式调用,所以默认export为false。

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog" >

2、为了增加四大组件的安全,可以定义访问某个组件需要某个权限。

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog" >

android:permission="com.example.test.permission"

android:protectionLevel="dangerous"

android:label="test"

android:description="test_permission" />    如果需要使用必须在AndroidManifest.xml,通过申请权限可以,另外也要注意protectionLevel,如果是Signature,那么只有和这个应用使用相同私钥签名的应用才可以申请这个权限。

3、Intent启动不同组件的方法如下:

组件名称方法名称

ActivitystartActivity()

startActivityForResult()

ServicestartService()

bindService()

BroadcastssendBroadcast()

sendOrderedBroadcast()

sendStickyBroadcast()

sendBroadcast,有一个方法,可以不用在AndroidManifest.xml里面声明,uses-permission;直接发送时附带权限,sendBroadcast(intent, receiverPermission)。动态注册的receiver可以在代码中指定需要访问它所需要的权限。

4、ContentProvider安全

android:name=".StudentContentProvider"

android:authorities="com.example.loadermanagerdemo.StudentContentProvider"

android:readPermission="com.example.testapps.readPermission"

android:writePermission="com.example.testapps.writePermission"

>

    需要读contentProvider时,要申请readPermission,需要写contentProvider时,需申请writePermission。

版权声明:本文为博主原创文章,未经博主允许不得转载。

原文:http://blog.csdn.net/jltxgcy/article/details/48312359

李纪正
关注
[车联网安全自学篇] Android安全之「组件安全攻防」组件暴露导致的安全问题「基础篇含案例实验」
橙留香Park的博客
04-06 3685
Androdi APP 主要由JAVA编写,包括四大组件Activity、Service、Content Provider、Broadcast Receiver)应用组件是组成安卓应用的关键部分。每个应用都是由一个或者多个组件组成,并且每个都是单独调用。组件名描述Activities描述UI,并且处理用户与机器屏幕的交互Services处理与应用程序关联的后台操作处理Android操作系统和应用程序之间的通信处理数据和数据库管理方面的问题。...
Android组件安全
micotale的博客
08-21 1266
一.介绍篇 1.Activity (1)访问,串谋攻击 正如Android开发文档中所说的,Android系统组件在制定Intent过滤器(intent-filter)后,默认是可以被外部程序访问的。这就很意味着很容易被其他程序进行串谋攻击,如何防止Activity被外部使用? Android所有组件声明时可以通过指定android:exported属性值为false,来设置组件能被外部...
Android安全机制--四大组件安全
04-15 1927
组件有Public和Private的概念,是否能被其他方调用。通过android:exported字段来确定,android:exported="true"表示能,反之行。 默认情况下,组件AndroidMainfest声明中没有 interfliter  那么exported为false,有了interfliter为true.当然我们可以直接输入android:exported来自己控制。
Android组件安全
HWHXY的博客
03-16 5943
Android客户端漏洞挖掘】组件安全 本文主要在实战过程中的一些经验总结,长期更新,目前状态是初学,目前实战中会挖一些webview沙箱任意读、lauchanywhere等比较常见的问题,其他类型的漏洞还在断地学习中。 drozer 通过drozer可以看出apk有哪些组件可导出 下载 https://labs.f-secure.com/tools/drozer/ 常用命令 run app.activity.info -a com.xxx run app.service.info -a com
Android组件设计思想
10-23
Android应用开发的哲学是把一切...这一节讲Android组件化设计的背景、理念、原则,以及Android在OS级别上提供的组件化支持,其中还会包含一个实验来验证这种组件化设计思想,可以对Android系统有一个高层次的抽象理解。
Android组件与数据存储安全分析及实战
02-14
本篇文章将深入分析Android四大组件安全性和数据存储安全,并提供实战案例。 首先,Android四大组件包括Activity、Broadcast Receiver、Service和Content Provider,它们是构建Android应用程序的基础。每一个组件...
Android组件化方案及组件消息总线modular-event实战
02-24
本文主要介绍我们的组件化方案,希望对从事Android组件化开发的同学能有所启发。近年来,为什么这么多团队要进行组件化实践呢?组件化究竟能给我们的工程、代码带来什么好处?我们认为组件化能够带来两个最大的好处...
一种增强型Android组件安全访问控制方案.pdf
09-21
由于权限访问控制对组件通信保护的足,文章提出了一种增强型Android组件安全访问控制方案,该方案通过签名机制对Android Framework层需要进行安全保护的组件通信进行签名验证,从而实现了对组件间通信过程的有效...
Android APP组件安全
qq_36270253的博客
03-31 222
反编译后查看AndroidManifest.xml中组件定义标签的安全属性设置的是否恰当,在AndroidManifest.xml中find“exported”参数。值为true即为可被其他应用调用,值为false即为可调用,发现有可调用的组件时进一步用drozer进行测试,也可用dexter在线检测或sanddroid 当有权限设置为permission时,要考虑权限属性 (端口转发==》adb forward tcp:31415 tcp:31415 连接drozer==》droze...
最佳实践-android程序安全
com360的专栏
09-28 2273
自文章主要是翻译的官网文章,同时也加入了自己的理解,如有准确之处,请指正 http://developer.android.com/guide/practices/security.html 一些虚拟机运行在一个安全边界内,与所在的操作系统的程序隔离开来,比如java虚拟机和.net 运行环境。 在android上,Dalvik虚拟机没有这样的安全边界,应用程序沙箱是实现在操作系统
android基础四大组件及其基础漏洞
最新发布
rescure的博客
05-23 863
目前做android安全,对于遇到的问题及学习做一个专题记录android安全有两大部分,第一部分就是web端的安全再记录;第二部分就是apk本身的问题包括四大组件,源码,加解密等
如何提高Android代码的安全
雨辰专栏
05-14 7715
Android免费培训QQ群(118949422)第二期专题培训 (转载请注明出处,商用请与本人联系) 1. 首先我们思考一个问题,Android中哪些部分需要提高安全性防止被破解,哪些部分无法保证安全?     a) 首先,如果你的应用跟其他人竞争的是创意、用户体验、服务等等偏软的东西,同时是免费的,并没有什么技术难点,要评估一下是否确实需要提高代码的安全性。     b) 对于图片、xml文件或者apk文件本身是无法加密的。因为这些文件是由Andriod虚拟机加载和读取,加密后Android虚拟
Android四大组件安全问题
續寫經典
06-26 2087
Activity AndroidMainfest 配置 android:exported="false", 其它应用可以调用 检测栈顶 Activity, 防止页面被劫持 WebView 加载网页发生证书认证错误时, 会调用 WebViewClient 类的 onReceivedSslError 方法, 如果该方法实现调用了 handler.proceed() 来忽略该证书错误, 则会受到中间人攻
Android的四大组件及应用安装安全问题(4)
林锐波
01-12 1207
Android的四大组件组件间通信如果想对四大组件有深入的了解,那永远要停留在一些条条干干的SDK API的认识,需要了解他的通讯,他的复用,他的边界问题,这样才会对四大组件有透明的认识.四大组件简洁 Activity没有Activity 可以显示UI吗? 可以的,我们可以直接操作view显示,其实Activity 只是为了让这些view 富有逻辑的意义,也就是说Activity 主要是让这些
android四大组件
weixin_42625176的博客
07-21 179
Android四大组件 Activity 活动:是android四大组件之一,是app的与人交流的窗口、一个activity都是一个app页面(或着叫做窗口)。我们打开一个app时就会弹出一个主activity,当页面跳转时,就是打开了一个新activity。如设置 Service 服务:服务也是android的重要组件,当app放到后台某些功能都还可以工作,那是因为这些还工作的功能实现了service(服务),服务(Service)是Android中实现程序后台运行的解决方案,它非常适合去执行那些
移动安全学习笔记——组件安全之四大组件运作方式及相关知识点
0nc3的博客
02-25 332
这块是学习瘦老师的文章 写的很详细,直接看吧~~链接
android内容提供者_Android安全(十)Android组件中最重要的四大组件之一
weixin_39649478的博客
11-27 132
ActivityAndroid组件中最基本也是最为常见用的四大组件(Activity,Service服务,Content Provider内容提供者,BroadcastReceiver广播接收器)之一。Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,可以通过setContentV...
Android UI组件实用实例解析集合
Android开发中,UI组件扮演着极其重要的角色,它们是用户与应用程序交互的直接界面。从标题来看,该集合包含了多种Android UI组件的实例,涵盖了从动画、日历、列表视图到菜单等各个方面的组件,以及相关工具包和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值