FlexDroid: 对Android第三方库进行权限限制的方法

最新推荐文章于 2024-03-01 13:58:29 发布
最新推荐文章于 2024-03-01 13:58:29 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: Android 文章标签: android android应用 安全 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsluoyc/article/details/50606354
版权

FlexDroid: 对Android第三方库进行权限限制的方法

FLEXDROID : Enforcing In-App Privilege Separation in Android, NDSS’16, 2016年2月[1]

http://daehyeok.com/papers/Flexdroid-NDSS16.pdf

第1章 背景

韩国KAIST与美国佐治亚理工大学的研究人员针对Android应用中第三方库滥用权限、影响用户隐私的问题,提出了一种安全隔离框架——FlexDroid。第三方库主要包括广告、分析、社交网络等类型。目前50%的免费App都具有第三方库。由于Andoird系统中第三方库与其所寄生的App是没有权限区别的,因此第三方库可以拥有App的所有权限,比较危险。而且第三方库通常使用很多Native代码(JNI)或者动态代码技术(如Java Reflection和动态类加载),这对第三方库的代码分析增加了难度。

FlexDroid可以让App开发者完全控制其调用的第三方库的权限,决定哪些权限授予或不授予,并且可以设置处理措施,如提供假的用户数据或者杀死进程。FlexDroid提出了进程间堆栈识别技术(inter-process stack inspection),能够识别当前运行的代码是第三方库还是App,从而控制不同的权限。该方法对JNI或者动态代码执行仍然有效。

第2章 贡献

  1. 本文通过对10000个实际Android应用的分析,有了新的发现:1)20个流行应用里,17个使用了未公开的权限。2)295个第三方库中,72%使用了动态代码执行技术(dynamic code execution)。3)295个第三方库中,17%使用了JNI技术。

  2. FlexDroid通过提供应用内特权隔离,扩展了Android的权限系统。FlexDroid并不限制开发者使用JNI或者Reflection技术,也不需要修改App源代码,只需要修改一下manifest文件。

  3. 在作者看来,FlexDroid是第一个采用了基于硬件错误隔离技术来隔离第三方库的工作。该技术基于ARM Domain,本文叙述了一些关于实现的相关经验。

FlexDroid的架构如下图所示:

第3章 对比

FlexDroid在Google Nexus 5手机上以及Android 4.4.4进行实验。

3.1 可用性

本文找了Google Play上App Annie列表首页的32个App,直接在FlexDroid手机上运行,5个应用崩溃。作者分析后发现问题在于JNI沙箱里的Pthread ID, mmap()和free()。应该是作者在工程实现上还有问题导致的。

3.2 性能

FlexDroid带来的性能开销为1.13-1.55%。

日常使用:

具体系统调用:

第4章 参考文献

[1] Seo J, Kim D, Cho D, et al. FLEXDROID: Enforcing In-App Privilege Separation in Android[J]. 2016.

Casbin开源社区
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Android6.0运行时权限处理-超简单封装
liulei823581722的博客
10-19 663
之前调试的时候,出现了一个问题,就是当我打开二维码扫描界面的时候,对于一部分手机一直不会出现那个扫描框,这点我也很是郁闷,这不好整啊,毕竟二维码界面是用的别人的,怎么改啊?这个时候我分析了一下原因,最后知道只有部分6.0的手机才会出现这种情况,那么这就简单了。下面我就对关于6.0手机动态申请安全权限做一下讲解:对于6.0以下的权限及在安装的时候,根据权限声明产生一个权限列表,用户只有在同意之后才能完
Android--权限申明第三方库
超宇的博客
03-29 4469
一、Android现在申请权限比较麻烦,在github查找到一个比较好用的:AndPermission 依赖: implementation 'com.yanzhenjie:permission:2.0.0-rc4' 在Fragment中要加上下面的语句,Activity中则可以省略,但我处理方式是都加上了,本身就是一个父类的重写方法,activity中用不用看自己。 // 在Fra...
转发屏蔽第三方SDK权限
qq739538666的博客
06-24 2072
屏蔽第三方权限
合规检测—安卓移除第三方包中申请的权限
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
07-13 401
我们在引用第三方库的时候,第三方内部可能申请了一些非必要权限,合规检测时候会排查出来,第三方库有的我们不能修改,所以想要移除这个非必要权限需要以下方法。原文链接:https://blog.csdn.net/qq_26530191/article/details/126366724。在manifest文件中添加如下代码,移除非必要的权限,tools:node=“remove”
Android如何移除第三方SDK中的权限声明
最新发布
u013083465的专栏
03-01 771
在app下AndroidManifest.xml中使用 tools:node="remove",在打包时移除权限.
android - 安卓如何限制依赖的包的权限?
丿灬安之若死
04-13 863
权限后面加 tools:node="remove" <!-- 移除应用锁不需要的第三方jar 权限--> <uses-permission android:name="android.permission.READ_SMS" tools:node="remove"/> <uses-permission android:name="and...
android自定义访问权限permission
weixin_34357962的博客
03-20 222
由于Android部分设计原理较为开放,可能通过Intent或PackageManager就可以解析处理调用其他应用的子类,所以在部分应用中需要做更多的安全处理,保证应用内部的稳定性和安全性。 稳定性: 部分类可能没有数值的传入将会导致可能初始化失败,造成Force Close等问题。 安全性: 其他应用调用本程序的SQL数据等问题,可...
安卓删除(过滤)第三方包中定义的权限申请
蓝不蓝编程
04-28 3279
背景 通常我们会在项目中引入第三方包,有些第三方包里申请了很多权限,实际上我们可能用不上.但是我们又改不了第三方包,那怎么把这些多申请的权限去掉呢. 解决方案 通过gradle在编译的最后阶段修改manifest文件,过滤多余的权限申请. 在app模块目录下新建filterPermission.gradle,并根据实际需要添加需要过滤的权限项目、 println("--------------...
Andoid app三方权限位置查找和处理
Dream It Possible
05-21 1787
查找方案: 第一种方法:使用AS Find in Path(Eclipse模式快捷键Crtl+H)全局搜索功能,选择搜索范围为scope,就能看到所搜权限在三方中的位置,速度最快。 第二种方法:打包过程中,会在build\outputs\logs文件夹中生成log文件,在log文件中搜索权限,可以对应到具体三方,比第一种方案精确度更好。 可以通过AS项目中的External Libraries找到权限所在的三方,然后右键选择项目Properties来查看下载到本机的位置, 找到aar
目前最流行的运行时权限请求框架PermissionsDispatcher、RxPermissions和easypermissions的使用和对比
热门推荐
totond的博客
06-23 3万+
本文出处: 炎之铠csdn博客:http://blog.csdn.net/totond 炎之铠邮箱:yanzhikai_yjk@qq.com 本文demo地址:https://github.com/totond/PermissionsApplyDemo 本文原创,转载请注明本出处! 前言   今天是2017年6月23日,到目前为止,Android6.0已经发布了两
Android开发apk包删除不必要的权限申请
The blog of CSDN in 杨天福
01-02 1万+
bug场景: 项目中因为进度有要求,不能什么功能都自己写,很多时候都要用嫁衣神功拿别人造好的轮子实现自己的业务需求,这是常事,但是不同公司,不同产品提的需求都是不一样的,这样我们用的第三方库当然也就良莠不齐,这个时候就会可能出现一个问题,就是我们项目中不需要的一个权限,而且是动态获取的权限,在我们的manifest文件中并没有声明使用,这个时候就会很尴尬,人家测试或者产品问你,你这个权限是干什么...
pip安装第三方库出现权限问题
qq_38993096的博客
03-10 452
原因是管理员权限不够大,可以改成pip install --user numpy==1.13.3 原因1 原因2
Android开源项目-Easypermissions
abcwang1234的博客
01-16 513
1 相关文档 官方文档: https://github.com/googlesamples/easypermissions 运行时权限官方文档解释: https://developer.android.com/training/permissions/requesting.html 2 为什么使用Easypermissions Android M对权限系统进行
Android 禁止安装没有授权的第三方应用
weixin_37950736的博客
06-03 8799
平时也就只会跑程序,也不知道Android安装程序是个什么原理 Android应用安装有如下四种方式 1.系统应用安装――开机时完成,没有安装界面 2.网络下载应用安装――通过market应用完成,没有安装界面 3.ADB工具安装――没有安装界面。 4.第三方应用安装――通过SD卡里的APK文件安装,有安装界面 应用安装的流程及路径  应用安装涉及到如下几
Android6.0动态权限设置 第三方开源permissiongen使用封装
zhao_doubi的博客
09-08 3374
Android6.0动态权限设置 第三方开源permissiongen使用封装第一步 添加compile 'com.lovedise:permissiongen:0.0.6'第二步 自定义一个Activity继承BaseActivity(自己定义Activity的一些基本封装)import android.Manifest; import android.annotation.TargetApi;
android 关闭第三方应用,Android禁用第三方应用
weixin_30918493的博客
05-26 2020
需要权限android.Manifest.permission.CHANGE_COMPONENT_ENABLED_STATE而这个权限是只有system app才能使用,所以app需要系统签名。非system app即便在Android Mainfest.xml中强制写上,安装时也部会写入/data/system/packages.xml启用第三方应用图标:PackageManager pm = ...
检查Android项目第三方库权限
houdada_的博客
09-03 1685
效果图: 代码: import os from bs4 import BeautifulSoup # 项目路径 动态改动 projectPath = 'C:/Users/Administrator/AndroidStudioProjects/bjx-media' + '/' # host主目录 as 缓存都是在此目录下 一般是死的,除非你的修改过主盘 USER_HOME = "C:/Users/Administrator" path = projectPath + '.idea/...
android动态申请权限第三方库,SchPermission一个自己封装的Android动态申请权限
weixin_34378148的博客
05-25 362
SchPermission一个自己定制的Android动态申请权限为什么要定制自己的动态申请权限Android6.0之后,Android系统就要求敏感权限需要动态申请。这位用户带来了很大的方便,也给开发者带来了更大的挑战。官方提供了相应的API供开发者使用,但是使用起来略显麻烦。市场上也有很多开源权限申请,之前有使用rxPermission,这次也有参考rxPermission的代码。使用开...
Android 删除第三方库中注册的权限申请
咖啡不加糖的博客
06-06 948
Android 打包时删除第三方库中注册的权限
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Casbin开源社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值