Android 12 行为变更，对应用产生的影响

最新推荐文章于 2024-10-02 18:56:51 发布

前端小仙子

最新推荐文章于 2024-10-02 18:56:51 发布

阅读量828

点赞数 17

分类专栏： 2024年程序员面试文章标签： android

本文链接：https://blog.csdn.net/m0_60388216/article/details/136690898

版权

2024年程序员面试专栏收录该内容

15 篇文章 0 订阅

订阅专栏

方案二： Twicca App 没有使用方式一，而是检查调用者的包名是否与自身的包名相同

public void onCreate(Bundle arg5) {
super.onCreate(arg5);
…
ComponentName v0 = this.getCallingActivity();
if(v0 == null) {
this.finish();
} else if(!jp.r246.twicca.equals(v0.getPackageName())) {
this.finish();
} else {
this.a = this.getIntent().getData();
if(this.a == null) {
this.finish();
}
…
}
}
}

这种方案也是可行的，因为在一台设备上，不可能会出现两个包名相同的应用，更多详细的信息可以前往查看 Restrict access to sensitive activities。

这仅仅是关于 activity 的安全漏洞的其中一个，在不同的场景下利用这些漏洞做的事情也可能不一样。当然还有 service 和 receiver 组件也都是一样，存在安全性问题。

指定 PendingIntent 的可变性

在 Android 12 中创建 PendingIntent 的时候，需要显示的声明是否可变，请分别使用 PendingIntent.FLAG_MUTABLE 或 PendingIntent.FLAG_IMMUTABLE 标志，如果您的应用试图在不设置任何可变标志的情况下创建 PendingIntent 对象，系统会抛出 IllegalArgumentException 异常，错误日志如下所示：

PACKAGE_NAME: Targeting S+ (version 10000 and above) requires that one of
FLAG_IMMUTABLE or FLAG_MUTABLE be specified when creating a PendingIntent.

Strongly consider using FLAG_IMMUTABLE, only use FLAG_MUTABLE if
some functionality depends on the PendingIntent being mutable, e.g. if
it needs to be used with inline replies or bubbles.

为什么 Google 需要开发者显示的指定 PendingIntent 的可变性?

在 Adnroid 12 之前，默认创建一个 PendingIntent 它是可变的，因此其他恶意应用程序可能会拦截，重定向或修改此 Intent。（但是是有条件限制的）

一个 PendingIntent 是一个可以给另一个应用程序使用的 Intent，PendingIntent 接收待处理意图的应用程序可以使用与产生待处理意图的应用程序相同的权限和身份执行待处理意图中指定的操作。

因此，创建待处理意图时必须小心，为了安全性 Google 在 Android 12 中需要开发者自己来指定 PendingIntent 的可变性。

更多关于 PendingIntent 安全性介绍，可以前往查看 Always pass explicit intents to a PendingIntent

adb 备份限制

Android 开发者都应该知道这个命令 adb backup , 它可以备份应用的数据，在 Android 12 中，为了保护私有应用数据，用户运行 adb backup 命令时，从设备导出的任何其他系统数据都不包含应用数据。

如果你在测试和开发过程中需要使用 adb backup 来备份应用数据，你可以在 AndroidManifest 中将 android:debuggable 设置为 true 来导出应用数据。

注意：在发布应用前将 android:debuggable 设置为 false

为什么 Google 在 Android 12 限制了 adb backup 命令的默认行为

因为这个存在严重的安全问题，当初 Google 为了提供 App 数据备份和恢复功能，可以在 AndroidManifest 中添加 android:allowBackup 属性，默认值为 true, 当你创建一个应用的时候，会默认添加这个属性，如下所示：

当 android:allowBackup="true" 时，用户可以通过 adb backup 和 adb restore 命令对应用数据进行备份和恢复，也就是说可以在其他的 Android 手机上安装同一个应用，通过如上命令恢复用户的数据。

为了安全起见，我们在发布出去的 Apk 中一定要将 android:allowBackup 属性设置为 false 来关闭应用程序的备份和恢复功能，以免造成信息泄露。国民级应用 XX 信, 在曾今发出的版本中 allowBackup 的属性值是 true，被其他逆向开发者利用之后，现在的版本中这个值已经修改为 false了，有兴趣的小伙们可以反编译看看。

如何检查 App 的安全漏洞

在这里推荐一个开源项目 linkedin/qark 这是由 LinkedIn 开源的项目，这个工具被设计用来寻找与安全相关的 Android 应用程序漏洞，无论是源代码还是打包的 APK，具体的用法文档上写的非常的清楚了，这里不做详细的介绍了。

这个开源项目的检查结果，作为参考即可。当然也有很多公司花了重金去购买第三方的服务来检查 App 的安全漏洞。

在 Android 12 上这几个行为的变更它们都有一个共性：安全性，可见 Google 这几年在安全上做了很多的努力，当然还有其他的一些行为的变更，可以前往查看行为变更：以 Android 12 为目标平台的应用

开发中 App 安全的注意事项

从 Google 在 Android 12 上的安全行为变更来看，Google 应该收到了很多安全漏洞的案例，是通过这几个基本组件来进行的，要不然也不会做此重要的改变（纯属个人看法）。

在很早之前，看到过一篇文章谈谈 Android 下 App 的安全性问题，这篇文章包含：activity 、 service 、 Broadcast 、 webview 、 Content Provider 开发中的一些注意事项和安全编码建议，以及一些测试方法，找了很久才找到，有兴趣的小伙们可以前往查看，这里就不详细列出来了，原文有更加详细的介绍。

参考文章

结语

这篇文章主要介绍了在 Android 12 上行为的变更，对 App 都有些影响，以及这些行为在 App 中都有那些安全漏洞，我们在开发中应该如何注意这些潜在的问题。

全文到这里就结束了，如果有帮助点个赞就是对我最大的鼓励

代码不止，文章不停

欢迎关注公众号：ByteCode，持续分享最新的技术

最后推荐我一直在更新维护的项目和网站：

全新系列视频：现代 Android 开发 (MAD) 技巧系列教程：在线查看

总结

学习技术是一条慢长而艰苦的道路，不能靠一时激情，也不是熬几天几夜就能学好的，必须养成平时努力学习的习惯。所以：贵在坚持！

最后如何才能让我们在面试中对答如流呢？

答案当然是平时在工作或者学习中多提升自身实力的啦，那如何才能正确的学习，有方向的学习呢？有没有免费资料可以借鉴？为此我整理了一份Android学习资料路线：

这里是一部分我工作以来以及参与过的大大小小的面试收集总结出来的一套BAT大厂面试资料专题包，在这里免费分享给大家，主要还是希望大家在如今大环境不好的情况下面试能够顺利一点，希望可以帮助到大家。需要的小伙伴们可以点击我的GitHub获取免费领取方式

好了，今天的分享就到这里，如果你对在面试中遇到的问题，或者刚毕业及工作几年迷茫不知道该如何准备面试并突破现状提升自己，对于自己的未来还不够了解不知道给如何规划，可以去我的主页加一下技术群。来看看同行们都是如何突破现状，怎么学习的，来吸收他们的面试以及工作经验完善自己的之后的面试计划及职业规划。

最后，祝愿即将跳槽和已经开始求职的大家都能找到一份好的工作！

备面试并突破现状提升自己，对于自己的未来还不够了解不知道给如何规划，可以去我的主页加一下技术群**。来看看同行们都是如何突破现状，怎么学习的，来吸收他们的面试以及工作经验完善自己的之后的面试计划及职业规划。

最后，祝愿即将跳槽和已经开始求职的大家都能找到一份好的工作！