Android 组件安全

最新推荐文章于 2022-11-27 11:14:58 发布
最新推荐文章于 2022-11-27 11:14:58 发布
阅读量4.4k 收藏 7
点赞数
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jltxgcy/article/details/48312359
版权

     1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大组件,他们的安全性是非常重要的。四大组件的安全漏洞主要集中在是否可以被外部调用,外部调用是否存在风险。

     四大组件是否可以被外部调用,决定因素是在AndroidManifest.xml里面定义的四大组件的标签export的布尔值。如下:

<activity  
            android:name=".PartActivity"  
            android:theme="@android:style/Theme.Dialog" 
            android:export="true">  
</activity>

    export为true,表示PartActivity可以被外部调用。export如果为false,表示PartActivity不可以被外部调用。


    我们注意到我们在定义四大组件时,经常是不写export这个标签的,那么系统默认的export是什么呢?

    (1)、如果四大组件包含intent-filter,那么Android系统认为这个组件可以被外部通过隐式调用,所以默认export为true。

<activity  
            android:name=".MainActivity"  
            android:label="MainActivity" >  
            <intent-filter>  
                <action android:name="android.intent.action.MAIN" />  
  
                <category android:name="android.intent.category.LAUNCHER" />  
            </intent-filter>  
</activity>

    (2)、如果四大组件不包含intent-filter,那么Android系统认为这个组件值只可以被内部通过显式调用,所以默认export为false。

<activity  
            android:name=".PartActivity"  
            android:theme="@android:style/Theme.Dialog" >  
</activity>

     2、为了增加四大组件的安全,可以定义访问某个组件需要某个权限。 

	<activity  
				android:name=".PartActivity"  
				android:theme="@android:style/Theme.Dialog" >  
				android:permission="com.example.test.permission"
	</activity>

	<permission android:name="com.example.test.permission"  
			android:protectionLevel="dangerous"  
			android:label="test"  
			android:description="test_permission" />
    如果需要使用必须在AndroidManifest.xml,通过申请权限可以,另外也要注意protectionLevel,如果是Signature,那么只有和这个应用使用相同私钥签名的应用才可以申请这个权限。 

<uses-permission android:name="com.example.test.permission" />


    

     3、Intent启动不同组件的方法如下:         

组件名称

方法名称

Activity                                                                         

startActivity()

startActivityForResult()                                                                                                                                               

Service

startService()

bindService()

Broadcasts

sendBroadcast()

sendOrderedBroadcast()

sendStickyBroadcast()


     sendBroadcast,有一个方法,可以不用在AndroidManifest.xml里面声明,uses-permission; 直接发送时附带权限,sendBroadcast(intent, receiverPermission)。动态注册的receiver可以在代码中指定需要访问它所需要的权限。


    4、ContentProvider安全

<provider
    android:name=".StudentContentProvider"
    android:authorities="com.example.loadermanagerdemo.StudentContentProvider" 
	android:readPermission="com.example.testapps.readPermission"
	android:writePermission="com.example.testapps.writePermission"
	>
</provider>
    需要读contentProvider时,要申请readPermission,需要写contentProvider时,需申请writePermission。

jltxgcy
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
[车联网安全自学篇] Android安全之「组件安全攻防」组件暴露导致的安全问题「基础篇含案例实验」
橙留香Park的博客
04-06 3578
Androdi APP 主要由JAVA编写,包括四大组件(Activity、Service、Content Provider、Broadcast Receiver)应用组件是组成安卓应用的关键部分。每个应用都是由一个或者多个组件组成,并且每个都是单独调用。组件名描述Activities描述UI,并且处理用户与机器屏幕的交互Services处理与应用程序关联的后台操作处理Android操作系统和应用程序之间的通信处理数据和数据库管理方面的问题。...
Android组件安全
micotale的博客
08-21 1079
一.介绍篇 1.Activity (1)访问,串谋攻击 正如Android开发文档中所说的,Android系统组件在制定Intent过滤器(intent-filter)后,默认是可以被外部程序访问的。这就很意味着很容易被其他程序进行串谋攻击,如何防止Activity被外部使用? Android所有组件声明时可以通过指定android:exported属性值为false,来设置组件不能被外部...
Android安全Android 应用组件 | Android 四大组件
Juruo@Security
11-27 509
Android 应用组件 | Android 四大组件
android 组件安全,Android 组件安全
weixin_34052529的博客
05-26 336
1、Activity、Service、BroadcastReceiver、ContentProvider是Android四大组件,他们的安全性是非常重要的。四大组件安全漏洞主要集中在是否可以被外部调用,外部调用是否存在风险。四大组件是否可以被外部调用,决定因素是在AndroidManifest.xml里面定义的四大组件的标签export的布尔值。如下:android:name=".PartAc...
Android组件安全
HWHXY的博客
03-16 5738
Android客户端漏洞挖掘】组件安全 本文主要在实战过程中的一些经验总结,长期更新,目前状态是初学,目前实战中会挖一些webview沙箱任意读、lauchanywhere等比较常见的问题,其他类型的漏洞还在不断地学习中。 drozer 通过drozer可以看出apk有哪些组件可导出 下载 https://labs.f-secure.com/tools/drozer/ 常用命令 run app.activity.info -a com.xxx run app.service.info -a com
Android组件与数据存储安全分析及实战
02-14
Basic Courses of Android Security 移动安全 北斗
Android安全架构深究
07-23
资源名称:Android 安全架构深究内容简介:《Android 安全架构深究》自底向上描述了Android安全架构,深入探究与安全相关的Android 子系统、设备和数据组件的内部实现。其中包括包和用户管理,权限和设备策略,...
论文研究-基于组件间通信的Android应用安全分析 .pdf
08-23
基于组件间通信的Android应用安全分析,黄炎裔,郭燕慧,近年来,Android恶意应用逐渐出现直接或间接利用其它应用达到不法目的的现象,因此对于Android应用的安全研究也逐渐由单个应用转向多�
Android安全研究经验谈
02-02
摘要:Android应用本身的问题主要集中在4大组件上,通常是一些逻辑处理问题导致信息泄露、身份认证绕过等。从攻击角度举例,可以是:对某个模块进行漏洞挖掘的方法,对某个漏洞进行利用的技术,通过逆向工程破解程序...
Android安全笔记-Service基本概念
IT1995的博客
08-03 375
个是Android中的一个重要组建: 1. Scheduled服务:调度任务服务。 ·JobScheduler 2.Started服务:其生命周期和启动它的组建无关。 ·startService ·onStartCommand 3.Bound服务:一个组件bind服务,这个服务提供client-server形式的接口该组件调用和交互主要用于IPC,其生命周期和绑定的组建有关系,如果没有组建绑定则销毁。...
Android安全机制--四大组件安全
04-15 1825
组件有Public和Private的概念,是否能被其他方调用。通过android:exported字段来确定,android:exported="true"表示能,反之不行。 默认情况下,组件AndroidMainfest声明中没有 interfliter  那么exported为false,有了interfliter为true.当然我们可以直接输入android:exported来自己控制。
Android中的组件安全漏洞介绍和检测
热门推荐
nextdoor6的博客
08-22 1万+
首先我们介绍下我们常见的Android的activity组件, Activity是Android四大组件之一,它用于展示界面。Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,可以通过setContentView(View)来显示指定控件。在一个android应用中,一个Activity通常
四大组件安全
九天
11-30 3012
本文为学习记录,将一些重点记录下。参考droidsec网站。推荐大家关注一下。 Activity:http://www.droidsec.cn/android-activtity-security/ Broadcast:http://www.droidsec.cn/android-broadcast-security/ Content:http://www.droidsec.cn/a
Android组件安全详解
有图有真相
04-05 4200
2016-09-03 简析Android组件安全 Mobile android 前言前段时间在学习github上DroidPlgin插件的时候接触到不少专业术语,诸如预先占坑、Activit
Android暴露组件——被忽略的组件安全
Lance_W
10-31 5686
Intent 简介: Intent(意图),负责完成Android应用、组件之间的交互与通信。 常见的Activity的调用、Receiver的发送、Service的启动都需离不开Intent。 Intent通常包含的信息: Categpry:种类、归类。 Action:表明要做什么?通常代表了一个组件具有的能力。 Data/Extras:通信的数据。 Flags:规定了系统如何去启动一个Act...
Android四大组件安全问题
續寫經典
06-26 1924
Activity AndroidMainfest 配置 android:exported="false", 其它应用不可以调用 检测栈顶 Activity, 防止页面被劫持 WebView 加载网页发生证书认证错误时, 会调用 WebViewClient 类的 onReceivedSslError 方法, 如果该方法实现调用了 handler.proceed() 来忽略该证书错误, 则会受到中间人攻
Android研发安全1-Activity组件安全(上)
Android安全技术大本营
10-08 513
Activity组件是用户唯一能看见的组件,作为软件所有功能的显示载体,其安全性不言而喻。针对Activity组件安全,作为一个安卓开发者来讲需要在日常开发过程中注意两点: - Activity访问权限的控制 - Activity被劫持本篇文章将分享Activity访问权限控制方面的安全问题,首先科普下基础知识研发基础知识Activity分类       Activity类型和使用方式决定了其风险
Android四大组件
最新发布
05-11
Android 四大组件指的是 Activity、Service、BroadcastReceiver 和 ContentProvider。 1. Activity:是 Android 应用程序的一个基本组件,用于展示用户界面和处理用户交互。每个 Activity 管理着一个可视化的用户界面,应用程序的界面交互通过多个 Activity 实现。 2. Service:是 Android 应用程序的一个基本组件,它是一种在后台执行长时间运行操作的方式,没有用户界面。例如,音乐播放器中的音乐播放功能通常使用 Service 来实现。 3. BroadcastReceiver:是一种可以接收系统广播消息的组件,可以在特定事件发生时接收系统发出的广播消息,例如电量低、网络状态变化等。 4. ContentProvider:是一种在 Android 应用程序之间共享数据的标准接口,允许应用程序通过 URI 访问数据。它可以让应用程序共享数据,并保证数据的安全性。例如,通讯录和短信应用程序中的数据可以通过 ContentProvider 共享给其他应用程序使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值