动态注册broadcast的安全考虑

最新推荐文章于 2023-01-07 21:15:00 发布
最新推荐文章于 2023-01-07 21:15:00 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengshengjin2234/article/details/41250835
版权

一、android service通知activity更新
方式有
1. service 通过广播的形式发送broadcast,向这个activity的内部类发广播的消息来更新界面
2. service直接向activity发intent,把activity的launchMode设置为singleInstance

二、安全性
这边关注第1种方式的广播和接收intent安全,如果不对广播的发送和接收进行判断,会有很大的安全隐患
在我的场景中,是动态注册broadcast,考虑安全如下:

A、针对sendBroadcast
1.通常采用的安全方式有setPackage设置包名
intent.setAction("com.example.tianqitong.recv");
intent.setPackage("com.example.tianqitong");
sendBroadcast(intent);

2.可以通过使用LocalBroadcastManager,确保了应用程序外部的任何组件都收不到你广播的Intent

3.设置权限
sendBroadcast(intent,"broadcast.permission");

还要加上android:protectionLevel权限级别

<uses-permission android:name="broadcast.permission" /> //声明使用权限
<permission android:name="broadcast.permission" android:protectionLevel="signature" /> //自定义权限

B、针对Receive
1.可以通过使用LocalBroadcastManager,使其他应用程序也不能向你的接收器发送广播

2.对于动态注册的广播可以通过类似registerReceiver(BroadcastReceiver, IntentFilter, String, android.os.Handler)的接口指定发送者必须具备的permission
其中string为指定的permission,必须加android:protectionLevel
譬如:
<permission android:name="broadcast.permission" android:protectionLevel="signature" />


参考:
http://blog.csdn.net/t12x3456/article/details/9256609
http://blog.csdn.net/hotdogzu/article/details/7940820
http://blog.csdn.net/abc13939746593/article/details/8186916
http://my.eoe.cn/weiblog/archive/4590.html
http://www.sectop.com/?p=187
https://developer.android.com/training/articles/security-tips.html
https://developer.android.com/reference/android/content/BroadcastReceiver.html#Security
http://book.51cto.com/art/201304/389200.htm

dengshengjin2234
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓安全问题手册
白云天的博客
11-12 516
问题:RSA加密算法不安全使用带来的安全风险 RSA加密算法是一种非对称加密算法。当其密钥长度过短,通常认为长度小于512位时,就会存在较高的被破解风险;没有使用正确的工作模式和填充方式,将会存在重放攻击的风险。因RSA加密算法不安全使用造成的加密方法失效,可能造成客户端隐私数据泄露、加密文件破解、传输数据被获取、中间人攻击等后果,导致用户敏感信息被窃取。 解决方案 使用RSA算法进行数字签...
Android数据及编码安全几点常用操作
Android 值得拥有
01-05 387
app常用的一些设置里就包含了涉及到数据及源码安全的地方,下面我们来看看最常用的几点: 1、allowBackup数据备份泄露 manifest文件中在application节点下有个属性是allowBackup,这个估计大家对它很面熟,具体的作用就是是否允许为其app数据做备份,如果设置为true并且本地数据没有任何加密,那就会有暴露的风险,一般情况下最好设置为false; 2、Broadcast Receiver广播组件导出风险 Broadcast Receiver作为组成Apk的四个组件之一,
Android安全检测 - 动态注册Receiver风险
qq_35993502的博客
08-03 4916
这一章我们来学习“动态注册Receiver风险”,此项在安全检测平台上检测出的结果存在一定的报错率,一般需要三方检测平台或者开发者进行复核,这里我们研究如何避免此项风险。 一、漏洞原理 广播注册分为静态注册动态注册,使用registerReceiver方法进行注册广播动态广播(BoradcastReceiver),动态注册广播由于默认是全局的,可导出的(exported=true),如果没有指定权限访问控制,可以被任意外部应用访问。所以,动态注册BroadcastReceive可能导致拒绝服务攻
【android Broadcast安全性~
無負今日
05-13 966
在android系统中sendBroadcastBroadcastReceiver。只要BroadcastReceiver指定的action和sendBroadcast action一致就可以就行消息接收。但是我们有这样的需求即我发送的广播不允许所有应用都可以接收广播消息,而是要经过发送者允许的才可以。比如某一个产品簇,每一个产品发送的广播消息只允许本簇内的产品才允许接收消息。其它应用即使act
android安全测评修复小记(备用)
baidu_36583608的博客
09-28 1779
以下权限非需要不声明使用CAMERA:访问相机READ_EXTERNAL_STORAGE:读取SD卡上的内容WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容RECORD_AUDIO:录音READ_CONTACTS:读取联系人数据。
Broadcast示例代码
07-17
- 为了确保安全和性能,务必在不需要接收广播时调用unregisterReceiver()取消注册。 - 对于系统广播,如网络状态变化,应用无法阻止其他应用接收;而对于自定义广播,可以通过Intent的extras传递数据,实现定制化...
Broadcast Demo
03-23
它分为四种类型:有序广播(Ordered Broadcast)、无序广播(Unordered Broadcast)、动态广播(Dynamic Broadcast)和静态广播(Static Broadcast)。每种类型都有其独特的特性和应用场景。 1. **有序广播...
Broadcast广播实现强制下线功能
01-26
- 考虑到性能和电量消耗,合理选择静态和动态注册,避免不必要的广播接收。 - 对于Android 8.0及以上版本,由于限制了后台服务和广播的使用,可能需要使用JobScheduler或WorkManager来替代部分广播功能。 综上所...
广播接受者(Broadcast Receiver)
10-03
广播接收者(Broadcast Receiver)是Android系统中的一个重要组件,它允许应用程序在后台接收并响应系统或应用程序广播事件。广播事件可以是系统级别的,如设备启动、网络状态改变,也可以是应用自定义的,用于在...
broadcast实例工程
12-15
8. **广播的最佳实践**:考虑广播可能带来的性能影响,如大量广播可能导致应用启动慢,建议在必要时使用广播,尤其是动态注册,以便在不使用时及时释放资源。 在"BroadCastSimpleDemo"这个项目中,我们可以预期它...
关于BroadCastReceiver安全性的思考
Android学习之旅
08-30 6678
介绍了避免自己app中的广播响应其他应用中的广播,增加广播安全性的四种解决方案
BroadcastReceiver安全问题
Charon_Chui的专栏
04-10 882
BroadcastReceiver安全问题BroadcastReceiver设计的初衷是从全局考虑可以方便应用程序和系统、应用程序之间、应用程序内的通信,所以对单个应用程序而言BroadcastReceiver是存在安全性问题的(恶意程序脚本不断的去发送你所接收的广播) - 保证发送的广播要发送给指定的对象 当应用程序发送某个广播时系统会将发送的Intent与系统中所有注册的Broadc
Android 静态注册广播接收者和动态注册广播接收者(Android8.0之前和之后)
路宇的博客
07-19 5460
一、静态注册广播接收者步骤: 1.布局页面: <Button android:layout_width="wrap_content" android:layout_height="wrap_content" android:id="@+id/btn_static" android:layout_marginLeft="5dp" android:text="静态注册发送广播" /> <
Android开发中常见安全问题和解决方案
dzqxwzoe的博客
01-07 996
开发APP时经常有问到:“APP的安全怎么保障,应用程序被PJ了怎么办?手机被人捡去了怎么办?” 特别在号称“安全第一,风控牛逼”的银行系统内,移动产品安全性仍被持有怀疑态度。那我们来总结下APP安全的方向和具体知识。1.应用程序安全2.应用程序内敏感数据存储安全3.应用程序前后台数据报文传输安全以上是APP开发中需要注意的安全问题。不要等到项目投产时再去统一检测和检查APP安全问题。项目启动时,安全的事宜就要做到心里有数了。
动态注册广播的利弊
donggeAndroid的专栏
08-07 2972
BroadcastReceiver广播接收器,是Android的四大组件之一;
Android安全知识库
欢迎关注微信公众号:DroidMind
09-16 1520
1&gt; 程序可被任意调试 风险描述 安卓AndroidManifest.xml文件中android:debuggable为true。 危害描述 app可以被任意调试。 修复建议 AndroidManifest.xml 配置文件中中设置为android:Debugable=false。 参考链接 https://developer.android.com/guide/t...
BroadcastReceiver 动态注册注意事项
weixin_33881140的博客
03-06 277
1、注册,但没有发送广播IntentFilter filter=new IntentFilter("asdfasdfasdf");registerReceiver(new MyBroadCast(), filter);2、发送广播 Intent intent=new Intent("asdfasdfasdf");sendBroadcast(intent);cla...
BroadcastReciver的静态注册动态注册的区别
最新发布
07-20
BroadcastReceiver 可以通过静态注册动态注册两种方式进行注册,它们之间的区别如下: 1. 静态注册: - 静态注册是通过在 AndroidManifest.xml 文件中声明 `<receiver>` 标签来注册 BroadcastReceiver。 - 静态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值