[车联网安全自学篇] Android安全之Android中常用权限手册「必备」

已于 2022-09-27 18:09:58 修改
阅读量2.1k 收藏
点赞数
分类专栏: 车联网安全自学篇之Android安全 文章标签: 网络安全 信息安全 渗透测试
于 2021-12-22 18:02:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ananas_Orangey/article/details/122091826
版权

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 前言

Android在开发过程中会申请一些权限,比如定位、网络等关系到用户隐私数据的都需要在AndroidManifest.xml中声明,而且现在移动设备生产商都添加了应用在使用这些隐私功能的时候给用户一个提示,让用户去决定是否允许本次操作。Android 6.0新增了这个功能,叫做运行时权限

0x02 Android常用权限

在开始之前,我们需要了解的两个最重要保护级别是正常权限和危险权限:

  • 正常权限涵盖应用需要访问其沙盒外部数据或资源,但对用户隐私或其他应用操作风险很小的区域。例如,设置时区的权限就是正常权限。如果应用声明其需要正常权限,系统会自动向应用授予该权限
  • 危险权限涵盖应用需要涉及用户隐私信息的数据或资源,或者可能对用户存储的数据或其他应用的操作产生影响的区域。例如,能够读取用户的联系人属于危险权限。如果应用声明其需要危险权限,则用户必须明确向应用授予该权限

PS:设备管理权限还有

了解本专栏 订阅专栏 解锁全文
橙留香Park
关注
专栏目录
订阅专栏
[车联网安全自学] Car Hacking之CAN总线初探
橙留香Park的博客
10-24 1158
[车联网安全自学] Car Hacking之CAN总线初探;在汽制造商不断完善和推进辆系统的同时,对底层网络的需求进一步增加。为了打造智能汽,越来越多的零部件在一辆汽相互连接。这导致基于标准化技术构建的专用且通常是专有的汽协议。这些协议的大多数都基于总线协议:这种总线网络的所有网络节点都使用单个共享数据链路连接。该技术为多个安全和舒适系统之间的实时通信提供了一种可行的方式。但是,通常没有或没有足够的身份验证和加密或其他安全机制可以在当今的汽系统找到
[车联网安全自学] Android安全之移动安全测试指南「移动应用程序篡改和逆向工程」
橙留香Park的博客
02-02 637
[车联网安全自学] Android安全之移动安全测试指南「移动应用程序篡改和逆向工程」;逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握反编译已编译的APK应用程序的能力、应用程序打补丁以及篡改二进制代码甚至实时进程的各类综合能力技术。可是实际上大多数移动应用程序都会做对应的安全加固
Android载技术手册
最新发布
07-19
Android载技术手册
这可能是全网最详细的Android载OS资料整理
老皮的博客
02-14 2314
载操作系统(Automotive Operating System)简称载OS。目前市场上的网联汽大多支持基于OTA(Over the Air)空下载技术用以更新载操作系统,为用户提供着日渐强大且丰富的座舱功能服务。载操作系统的显示终端大多由仪表、控组成,近年来HUD(Head-up Display)抬头显示器、副驾屏、后排屏等多元的显示设备也频繁加入其。随着技术的发展,汽已经演变成为移动智能终端。汽不再是狭义上的交通工具,随着网联化、智能化的普及,汽将扩大成为重要的出行服务载体。
[车联网安全自学] Android安全之常规移动安全测试指南
橙留香Park的博客
02-02 376
[车联网安全自学] Android安全之常规移动安全测试指南;术语 “移动应用” 是指一种独立的计算机程序,被设计用于执行在移动设备上。如今,Android和iOS操作系统累计占到了以上。另外,移动互联网的使用在历史上首次超过了传统桌面系统的使用,使移动浏览和移动应用程序成为在常规移动安全测试指南,我们将使用 “应用程序” 这一术语作为泛指在流行的移动操作系统上运行的任何类型的应用程序从基本意义上讲,应用程序被设计为直接在其设计的平台上运行,或在智能设备的移动浏览器上运行,或两者皆有。
[车联网安全自学] 汽威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」
橙留香Park的博客
03-13 729
[车联网安全自学] 汽威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」;尽管威胁检测和事件响应技术在不断发展,但攻击及其战术也在不断发展。如今,犯罪分子不是一发现漏洞就直接部署恶意软件或进行破坏性攻击,而是慢慢来(例如他们侦察网络,收集机密数据),并寻找能让他们获得更多信息的凭据资源令人震惊的是,即使是配备了先进防御系统的企业,有时也无法检测到隐蔽的入侵者,从而使攻击者在被发现之前就已经在公司网络潜伏了数周甚至数月随着越来越多的攻击和0day (零日) 漏洞案例
[车联网安全自学] Android安全之移动安全测试指南「移动安全测试基本原理」
橙留香Park的博客
02-02 458
[车联网安全自学] Android安全之移动安全测试指南「移动安全测试基本原理」;在接下来的部分,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
[车联网安全自学] Android安全之移动安全测试指南「安全测试和SDLC」
橙留香Park的博客
02-02 3128
[车联网安全自学] Android安全之移动安全测试指南「安全测试和SDLC」;对应用程序及其组件进行风险评估,以确定其风险状况。这些风险状况通常取决于组织的风险偏好和监管要求。风险评估还基于各种因素,包括应用程序是否可以通过互联网访问,以及被应用程序处理和存储的数据类型。所有类型的风险都必须被考虑到:金融、市场、行业等。数据分类策略规定了哪些数据是敏感的,以及如何保护这些数据安全要求是在项目或开发周期开始时确定的,即应用功能需求被收集时。滥用案例,随着用例的创建而被添加。如果团队(包括开发团队)需要
[车联网安全自学] Android安全之签名机制
橙留香Park的博客
01-01 3249
众所周知,Android系统在安装Apk的过程,会对Apk进行签名校验,校验通过后才能安装成功。APK签名是为了保证APK的完整性和来源的真实性,分为JAR签名和V2签名两种方案。核心思想均是计算APK内容的hash,再使用签名算法对hash进行签名。校验时通过签名者公钥解密签名,再与校验者计算的APK内容hash进行比对,一致则校验通过。在开始之前我们先了解一下APK的基本结构。
[车联网安全自学] Android安全之APK逆向入门介绍
橙留香Park的博客
09-13 1万+
[车联网安全自学] Android安全之APK逆向入门介绍;2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。
[车联网安全自学] Android安全之Smali语法总结「必备
橙留香Park的博客
01-10 2328
Android4.4之前使用的是 Dalivk虚拟机,而Smali是用于Dalivk的反汇编程序的实现Smali是用于Dalvik(Android虚拟机)的反汇编程序实现,汇编工具(将Smali代码汇编为dex文件)为smali.jar,与之对应的baksmali.jar则是反汇编程序(https://bitbucket.org/JesusFreke/smali/downloads/)
[车联网安全自学] Android安全之混淆机制、签名保护的案例浅析
橙留香Park的博客
12-22 833
随着Android 市场的扩大,各类盗版、破解、打包党纷纷涌现,其使用的手法无非是apk _> smali ->修改代码 ->重打包签名,为对抗此类技术,广大程序员挖掘了Android平台特有的保护技术:签名校验Android系统在安装Apk的过程,会对Apk进行签名校验,校验通过后才能安装成功。那你知道签名校验的机制是什么?要知道签名是什么,先来看为什么需要签名。大家都知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。
[车联网安全自学] Android安全之Content Provider攻防
橙留香Park的博客
04-08 5508
"Content Provider 攻防"按照Google为Android设计的安全模型,应用的数据属于私有数据,故默认情况下,应用无法访问其他应用的私有数据。但当应用需要与其他应用共享数据时,Content Provider就扮演着应用间数据共享桥梁的角色。
[车联网安全自学] Android安全之APK应用程序分析「附带Smali基础语法解析」
橙留香Park的博客
09-13 389
Smali是Davlik的寄存器语言,语法上和汇编语言类似. Davlik是基于寄存器的,就是说smali里的所有操作都必须经过寄存器来进行.函数的定义一般为:函数名(参数类型1参数类型2…)返回值类型基本数据类型的参数与参数之间没有任何分隔符(,)对象数据类型使用分号(;)结束test()Vtest(lll)ZPS:注意: 参数之间没有任何分隔符,返回值在最后Smali数据定义指令指令描述将数值符号扩展为32后赋值给寄存器vA将数值符号扩展为64位后赋值个寄存器对vAA。
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
车联网安全入门
sca1p31的博客
03-04 1037
文章主要介绍一些关于辆网的概念、名词以及结构,具体的每一部分都会在之后进行详细的介绍以及学习车联网系统: telematics是内置在汽、航空、船舶、火等运输工具上的计算机系统、无线通信技术、卫星导航装置等信息的互联网技术而提供信息的服务系统。简单地说就是通过无线网络将接入互联网,为主提供驾驶所必需的何种信息。通常说的telematics就是指应用无线通信技术的载电脑系统。telematics是无线通信技术、卫星导航技术、网络通信技术和载电脑的综合产物。T-BOX就是telematics
车联网安全
weixin_43977912的博客
03-11 2107
1、智能汽安全如何分类? 智能汽终极发展阶段是无人驾驶,车联网则是无人驾驶实现的基础,然而车联网技术应用过程却会带来信息安全问题,具体可分为以下三种: 一、用户隐私 汽智能化是建立在辆动态数据收集及应用上的,如辆行驶、体、动力、安全及环境数据等层面, 尤其是辆行驶数据一直都被视为变现的大数据金矿,无论是车联网前装的商,还是车联网后装的互联网科技公司,都在用户不知情的情况下收集主驾驶历史数据,除了自用外,甚至还会商业变卖给第三方使用,由此造成用户隐私泄露危险(本文属于原创,猫视汽首发,转
阿里Android开发手册-安全
samli的博客
03-16 524
《阿里Android开发手册关于安全部分的说明 1. 【强制】禁止使用常量初始化矢量参数构建 IvParameterSpec,建议 IV 通过随机方 式产生。 说明: 使用常量初始化向量,密码文本的可预测性会高得多,容易受到字典式攻击。 iv 的 作用主要是用于产生密文的第一个 block,以使最终生成的密文产生差异(明文相同 的情况下),使密码攻击变得更为困难。 正例...
理想汽车联网安全挑战、实践与建设难题
理想汽车联网安全挑战与思考是一深入探讨了智能网联汽在当前环境下所面临的网络安全挑战的文章,由理想汽的董威撰写。文章主要分为四个部分:网络安全能力建设难点、车联网安全挑战、理想汽车联网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值