安卓APP隐私权限测试--剪切/粘贴板权限

已于 2022-09-07 14:10:27 修改
阅读量8.8k 收藏 9
点赞数 3
分类专栏: 工具 安卓 文章标签: android android studio ide
于 2022-09-07 11:34:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/For_if_while/article/details/126730441
版权

在日常的app测试过程中,除了常规的功能验证外,app端还需要验证隐私与权限合规测试,因为如果app在随意获取用户隐私和权限的话,软件很容易被工商局给强制下线,所以我们测试,在测试过程中还需要注意测试隐私权限方面的内容,下面文章将从剪切板的权限获取测试来切入,深入的了解一下我们如何开发一个用于隐私测试的工具;

某天产品提出一个需求叫帮忙测试,规则如下: app一进入后会获取用户剪切板的数据,识别剪辑版文字来跳转到对应的页面(比如拼多多的助力链接一样); 这里存在一个问题,首次安装app进入后,会有一个用户协议,需要用户点击同意后,软件才能去获取剪切板的权限,不同意的话,软件是不能去获取,不然会违反工信部的规定; 之前的app是用户未点击同意的时候,软件也会获取剪切板的信息,这次改动后,需要点击同意后才能去获取。 针对此次改动,我们常用的测试方法已经无法实现测试验证;这时需要我们去hook开发的代码才能验证这个功能。
在这里插入图片描述
在这里插入图片描述

文章大致主要采用的技术: java语言
开发工具: Android Studio
准备环境: 安卓开发环境,电脑端安卓模拟器(夜神模拟器,已root), xposed
成型工具: xposed 模块(不了解的同学可以百度一下,就是安卓的一些插件,如微信抢红包之类的)
检测实现原理:利用模块中的hook钩子来监测app在运行过程中,调用的方法和类; 通过识别固定的类名称和方法名来判断app是否调用了权限获取。

一:创建安卓项目

点击New Project 新建一个安卓项目
在这里插入图片描述
默认选中Empty Activity,点击Next
在这里插入图片描述
设置名称,点击创建
在这里插入图片描述
将项目设置为 project 模式,便于后期讲解
在这里插入图片描述

二: 开发Xposed模块

开发Xposed模块,流程可以参照下图:
在这里插入图片描述
下面,我们来一一实现
1. 让手机知道,这个apk是xposed的一个模块
打开 项目名称/app/src/main/AndroidMainifest.xml 文件, 加入下面代码

<meta-data
    android:name="xposedmodule"
    android:value="true"/>
<meta-data
    android:name="xposeddescription"
    android:value="这是一个xposed程序的用途" />

<meta-data
    android:name="xposedminversion"
    android:value="53" />

在这里插入图片描述
2. 加入带有xposed API的第三方jar包到程序中
这边提供的有82版本的api jar包; 链接:https://pan.baidu.com/s/1QI7nU7wu–X1fkXARao0UA
提取码:5ue0

将jar包放入 app/libs 文件夹中
在这里插入图片描述
在这里插入图片描述
点击Add As libray 将jar包加入项目中
在这里插入图片描述

3.编写hook程序,监测目标app
在 com.example.myapp文件夹下创建一个java类
在这里插入图片描述
叫做HookTest 类型选Class
在这里插入图片描述
HookTest .class 编写代码:
1.导入xposed API的包

import  de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

在这里插入图片描述
2.编写Hook函数

public class HookTest implements IXposedHookLoadPackage {
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable{

//        如果没有发现应用信息就返回,不进行后续的判断处理
        if (loadPackageParam == null) {
            return;
        }
//        打日志
        XposedBridge.log("开始进入Hook程序------------->");

		// 模板 使用其他方法的话也这样写
        //hook获取剪切板信息方法
        XposedHelpers.findAndHookMethod(
                android.content.ClipboardManager.class.getName(), // 写获取剪切版权限的方法的类名
                loadPackageParam.classLoader,  // 固定写法
                "getPrimaryClip",  // 对应的方法名
                new XC_MethodHook() {
                    @Override
                    protected void beforeHookedMethod(MethodHookParam param) {
                        XposedBridge.log("getPrimaryClip()获取了当前的剪切板内容");
                    }

                    @Override
                    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
//                        打印调用类信息
//                        XposedBridge.log(getMethodStack());
                        super.afterHookedMethod(param);
                    }
                }
        );
    }
}

在这里插入图片描述

4.让程序知道,那个文件是放hook模块方法的
首先在main文件夹下 创建一个 Assets Folder文件
在这里插入图片描述
在这里插入图片描述
创建一个文件 ,名称为:xposed_init
在这里插入图片描述
在这里插入图片描述
在该文件中写入hook测试类的路径
在这里插入图片描述

至此:所以代码层都已编写完成,可以将代码打包为apk,安装到模拟器中了, 点击顶部的播放按钮,安装软件到手机中,注意需要连接上手机或者模拟器
在这里插入图片描述

构建完成后,能看到已经安装上了
在这里插入图片描述
打开Xposed模块,能够看到,已经可以识别刚刚安装上的程序了;这时,我们点击勾选,重启模拟器
在这里插入图片描述

三: 测试 获取剪切版权限

1.首先启动刚刚安装的app.再打开xposed日志,清空之前的日志
在这里插入图片描述
2. 打开被测试app,调用获取剪切板权限的功能

在这里插入图片描述
3.再次打开日志文件,能够看到,我们已经监测到了app调用了这个方法
在这里插入图片描述

总结:
使用上面的方法,我们可以实现对,app获取剪切板权限的测试; 只需要在软件刚进入后,用户不点击同意协议前,监测软件,查看一下日志,即可知道开发是否调用了剪切板权限的方法; 向其他方法,如获取mac地址,GPS定位等功能,也是在模块中填写对应的方法名和类名称即可进行监测; 如果不知道对应权限的类名和方法名的话可以百度或者咨询一下开发;

木 叶
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
WindowsIPC机制--剪切板(小测试)
KOOKNUT的博客
03-17 421
剪切板相信大家都不陌生,我们平时都会使用Ctrl+C/V来解决一些相同内容的复制粘贴工作,而我们在不经意间就已经跨进程操作了,比如从word复制一段文字到notepad,这自然也属于进程间通信得一种方法。剪切板说白了就是一块所有进程共享的内存区域,里面存放的数据会随着每一次的剪切板内容变化而变化,也就是说里面的内容是暂时存储,而每当我们打开剪切板(OpenClipboard)进行操作时候,其实都是...
Android访问剪贴板权限,Android 12新增剪贴板访问提醒,可调查应用获取位置数据的频率...
weixin_30466329的博客
06-04 5463
IT之家 5 月 19 日消息 据外媒 xda-developers 报道,近年来,谷歌一直在打击 Android 系统中的剪贴板访问,并在发布 Android 10 时禁止后台应用读取剪贴板数据。在最新的 Android 12 中,谷歌引入了一项设置,每当应用访问用户的剪贴板时,就会弹出一个窗口,即使该应用位于前台。今年 4 月,外媒报道称谷歌计划引入一项新的通知,当应用访问剪贴板时会通知用户。...
android 禁用剪切板_Android10上被低估的功能之一是内置的剪贴板访问限制
热门推荐
weixin_35468857的博客
01-12 1万+
Android 10上被低估的功能之一是内置的剪贴板访问限制。在Android 10之前的Android版本中,每个应用程序都可以读取剪贴板的内容。无需授予任何应用程序任何运行时权限即可完成此操作。普通用户最终会一直复制用户名,密码和地址等敏感信息,因此对于应用程序而言,在后台不断抓取这些数据非常简单。Mishaal在2019年1月发现,Android Q / Android 10最终将阻止背景剪...
Android 将文本复制到粘贴板
weixin_42512159的博客
07-10 76
Android文本复制到粘贴板Android应用程序开发中,有时我们需要将文本复制到粘贴板,以便用户可以方便地粘贴到其他应用程序或者进行其他操作。本文将介绍如何在Android应用程序中实现将文本复制到粘贴板的功能,并提供代码示例供大家参考。 实现文本复制到粘贴板的功能 Android提供了ClipboardManag...
剪切板上的隐私泄露,真的很严重
非著名程序员
05-21 2925
loonggg读完需要4分钟速读仅需 2 分钟大家好,我是校长。今天我们聊一聊关于手机剪切板上的隐私泄露这个话题。我为什么要聊这个话题呢?因为这种现象接下来可能会有所改变了。01 剪切板泄...
Android 13 媒体权限适配指南
weitao_666的博客
08-17 3789
Android 13 在最近也发布了正式版,此次版本中新增的隐私安全限制也终于能够解决众多应用长久以来的两个问题了。 在很多 Android 应用中,都会通过内置一个图片选择器来向用户展示系统相册内的所有图片,常见于“上传用户头像、发送图片”等业务场景,这就需要通过获得 READ_EXTERNAL_STORAGE 权限来实现了。而这个权限也存在极大的隐私风险,应用也许会向用户说明该权限仅仅只会在选择图片时使用,但除了应用开发者外,谁又能确保应用不会依靠该权限在后台偷偷做些什么呢?而对于开发者来说也属于无奈
Android静态安全检查(十三):剪切板使用检测
不忘初心的专栏
07-10 3608
Android剪切板使用风险Android剪切板是可以暂存数据,剪切板在后台起作用,存放在内存中。如果把隐私数据,特别是密码,存放在剪切板中是不安全的,因为任何的应用程序都可以访问剪切板中的数据。如果一个恶意应用,注册了系统剪切板的监听器事件,当剪切板数据发生变化的时候,就能获取到剪切板的数据,通过下面的代码就可以注册监听器。 final ClipboardManager clipb...
Android如何监控App使用剪切权限的行为?
u010231454的专栏
06-29 3956
Android如何监控App使用剪切权限的行为
Android剪切板功能
sunming的博客
05-31 1890
关于小米(读取剪切权限目前未支持权限询问弹窗,所有应用默认权限状态为“智能允许”。) 剪切隐私保护功能说明及读写剪切权限调整说明 文档中心https://dev.mi.com/console/doc/detail?pId=2391 ...
android剪切板需要申请权限
最新发布
weixin_32597009的博客
08-10 78
Android剪切权限申请指南 在Android开发中,剪切板是一项重要的功能,它允许用户在不同的应用程序之间复制和粘贴文本、图像或其他数据。随着Android安全性的提高,从Android 10开始,访问剪切板内容需要用户的明确授权。本文将介绍如何在Android中申请剪切权限,并提供相应的代码示例。 剪切权限的概...
android操控手机粘贴板
yhd943的博客
06-19 376
//系统剪切板 复制 s为要复制的内容 public static void copy(Context context, String s) { // 获取系统剪贴板 ClipboardManager clipboard = (ClipboardManager) context.getSystemService(Context.CLIPBOARD_SERVICE); // 创建一个剪贴数据集,包含一个普通文本数据条目(需要复制的数据) C
Android通过剪切板传递数据
12-02
在Activity之间数据传递还可以利用一些技巧,不管是Windows还是Linux操作系统,都会支持一种叫剪切板的技术,也就是某一个程序将一些数据复制到剪切板上,然后其他的任何程序都可以从剪切板中获取数据。
android实现文本复制到剪切板功能(ClipboardManager)
09-04
Android也有剪切板(ClipboardManager),可以复制一些有用的文本到剪贴板,以便用户可以粘贴的地方使用,下面是使用方法
安卓App压力测试-Monkey的使用
01-27
Monkey是安卓开发工具包SDK自带的一个命令行工具,可用于安卓App的压力测试,其原理是通过命令行向手机发送随机事件的指令,随机事件包括点击,划屏和输入等操作,这些操作都是随机不可控的,可控的是需要操作的App...
android 7.0/8.0/9.0/10.0默认授予app权限
07-29
7.0/8.0/9.0/10.0app在运行时都需要申请运行时权限 默认给与app所要申请的权限 不会弹出授权的申请框
Android APP 渗透测试方法-137页.pdf
09-10
Android APP 渗透测试方法-137页.pdf
Android APP渗透测试方法大全-137页.pdf
10-08
Android APP渗透测试方法大全-137页
Android学习笔记--使用剪切板在Activity中传值示例代码
09-05
在API 11及以上版本,我们推荐使用`ClipData`对象来设置和获取剪切板上的数据,因为`setText()`和`getText()`方法在Android 3.0后已被弃用。 以下是一个简单的例子,展示如何将字符串数据"Jack"从一个Activity...
Android访问剪切
分享代码,分享idea!
01-07 1118
访问剪切板中的简单字符串 ClipboardManager clipboardManager=(ClipboardManager)getSystemService(Context.CLIPBOARD_SERVICE); //设置文本 clipboardManager.setText(msg); //取文本 String msg = clipboardManager.getText().toSt
Problem executing scripts APT::Update::Post-Invoke-Success 'if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh-cache > /dev/null; fi'
05-26
这个问题通常是由于在更新软件包后刷新appstream缓存时出现的。可以尝试以下解决方法: 1. 手动刷新appstream缓存: ``` sudo appstreamcli refresh --force ``` 2. 禁用在更新软件包后自动刷新appstream缓存: 编辑 `/etc/apt/apt.conf.d/50appstream` 文件,将以下行: ``` APT::Update::Post-Invoke-Success {"if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh-cache > /dev/null; fi";} ``` 替换为: ``` //APT::Update::Post-Invoke-Success {"if /usr/bin/test -w /var/cache/app-info -a -e /usr/bin/appstreamcli; then appstreamcli refresh-cache > /dev/null; fi";} ``` 保存文件后退出。 3. 如果以上两个方法都不起作用,可以尝试删除appstream缓存并重新生成它: ``` sudo rm -rf /var/cache/app-info/* sudo appstreamcli refresh --force ``` 希望这些方法能够帮助你解决问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值