Android安全性和权限之入门篇

最新推荐文章于 2024-07-02 13:38:49 发布
最新推荐文章于 2024-07-02 13:38:49 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Android系统 文章标签: android installer linux user sandbox 程序开发

本文描述应用开发者如何使用Android的安全特性。

Android是一个特权被隔离的操作系统,每个应用都运行在独特的系统识别符,即Linux user ID和group ID。

部分系统同样被系统识别符区分开。因此,Linux将应用程序彼此区分开,将应用程序与系统区分开。

  1. 安全体系

    Android安全体系的核心设计思想在于,默认情况下,任何一个应用程序没有权限,去执行影响到其他应用程序,操作系统或者用户的操作。

    包括读写用户的个人数据(联系人,邮箱),读写其他应用文件,接入网络,电源管理等,都是没有权限的。

    Android应用程序彼此间是沙盒Sandbox的,对于那些沙盒没有提供的额外需求,应用程序必须通过声明权限permission来显式地共享资源和数据。

    应用程序只能静态声明权限,Android并没有动态授予权限的机制,因为这有可能不利于安全性

  2. 签名

    Android所有的应用程序(.apk文件)都必须有证书的签名,证书的私钥由程序开发者发起,该证书用来表示程序的作者。

    证书不需要证书机构的签名,对于Android应用来说,使用自己的签名是完全允许的,Android使用证书的目的是为了区分作者。

    系统可以授予或者拒绝一个应用对于签名等级和申请相同Linux ID的访问权限。

  3. 用户ID和文件权限

    程序安装时,Android会给每个package一个唯一可区分的Linux user ID(UID),只要程序包存在于某台设备上,这个ID识别符就会保持不变。

    对于不同的设备,程序包可能会有不同的UID,但对于一台设备,每个程序包都拥有自己独有的UID。

    处于对进程安全的考虑,任何两个不同的程序包的代码在正常情况下不能运行在同一个进程里,因为它们拥有不同的Linux user ID。

    任何由应用保存的数据将由应用的user ID负责,正常情况下不能被其他程序包访问。

  4. 使用permission

    为了使用一些设备上被保护的特性,必须为应用程序在AndroidManifest.xml里申请权限permission.

    举个例子,如果需要监听短消息,须如下声明,

    <manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.android.app.myapp" >
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    ...
</manifest>
    程序第一次安装过程中,安装包installer会通过检查签名来授予权限给程序。如果没有授予权限,那么用户将无法使用该特性。



qianjin0703
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 测试入门篇
09-04
Android测试入门中,了解Android系统的架构至关重要。Android作为一个开源的操作系统,它的核心特性与层次结构为测试工作提供了基础。Android系统由四层主要部分组成: 1. **Application(应用程序层)**:这一层...
Android渗透测试入门教程
03-13
通过"Android渗透测试入门教程试读.pdf",读者可以预期学习到上述各方面的基础知识,了解渗透测试的流程和工具,以及如何运用这些知识来提升Android应用的安全性。"大学霸淘宝店.url"可能是一个提供更深入学习资源的...
Android安全入门
weixin_43047908的博客
08-10 564
目录Android简介深入了解 Android沙箱和权限模型应用签名Android 启动流程 Android简介 自从 Android 被谷歌收购(2005 年),谷歌已经完成了整个开发,在过去的 9 年里,尤其是在安全方面,有很多变化。 现在,它是世界上最广泛使用的智能手机平台,特别是由于不同的手机制造商,如 LG,三星,索尼和 HTC 的支持。 Android 的后续版本中引入了许多新概念,例如 Google Bouncer 和 Google App Verifier。 我们将在本章逐一介绍它们。 如果
Android安全性权限
joy
03-25 1162
本文档向应用开发者介绍如何使用Android提供的安全行特征。 Android是一个特权分离的操作系统,在系统中运行的每个应用程序都有一个区分系统标识(Linux用户ID和分组ID)。标识的系统部分也被区分不同的身份。因而Linux能够把应用程序以及系统进行彼此分离。 另外,更细粒度的安全特征是通过“权限”机制来提供的,这种机制强制限制了特殊进程所能执行的具体操作,并且给每个URI都设定了方位
深入分析 Android HTTPS 证书管理策略:设置本地证书使用系统默认证书和忽略证书
最新发布
weixin_37600397的博客
07-02 1226
设置本地证书:提供最高的安全性和合规性,适用于高安全要求的应用,但维护复杂。使用系统默认证书:配置简单、维护轻松,适用于一般的商业应用。忽略证书验证:仅适用于开发和测试阶段,安全性极低,绝不推荐在生产环境中使用。根据应用的实际需求和安全要求选择合适的 SSL 证书管理策略,以确保应用的数据传输安全和用户隐私保护。
Android安全使用HTTPS
Hugo.Lee的博客
12-03 1050
1、HTTPS简介 1.1 为何需要HTTPS HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容。 1.2 HTTPS通信原理 HTTPS是HTTP over SSL/TLS,HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS: SSL/TLS层负责客户端和服务
Android中签名、证书、公钥密钥的概念及使用
热门推荐
stromxu 的专栏
09-02 3万+
资料来源于Android 官方文档的:https://developer.android.com/studio/publish/app-signing.html 还有些资料来源于网络。加以整理!公钥和私钥的概念在现代密码体制中加密和解密是采用不同的密钥(公开密钥),也就是公开密钥算法(也叫非对称算法、双钥算法)”,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需
Android系统添加信任凭证CA证书
特立独行的博客
12-08 1万+
Android系统添加信任凭证CA证书,根据网站地址生成签名文件并集成到AOSP中
Android_Develop.rar_andriod_andriod 开发_android_android入门
09-20
本篇文章将深入探讨Android开发的基础知识,帮助初学者快速入门。 1. **Android SDK与环境配置** - **Android SDK**:Android软件开发工具包,是开发Android应用的基础,包含了编译、调试所需的各种工具和库文件。...
Android-base-class.rar_android
09-14
最后,第十三部分教程探讨了Android应用的权限管理,这是保证应用安全性和用户隐私的重要环节。此外,还涵盖了资源文件的使用,如图片、字符串、颜色等,这些资源文件让应用更易于本地化和定制。 总的来说,这个...
Android应用开发基础到深入篇第一课第二到四讲_Android总体介绍
01-15
Android Studio内置的调试工具可以帮助定位和解决问题,而Git版本控制系统则确保代码的安全和团队协作的有效性。 通过这四讲的学习,开发者将对Android应用开发有一个全面的了解,为后续的深入学习和实践打下坚实的...
android权限列表
fenghome的专栏
07-02 1万+
public static final String BROADCAST_PACKAGE_REMOVED  允许应用程序发出一个应用程序被删除的通知。  常量值: "android.permission.BROADCAST_PACKAGE_REMOVED"  public static final String CALL_PHONE  允许应用程序发起一个电话呼叫而不需要经拨号器用户界面确认。  常量值: "android.permission.CALL_PHONE"  public static fina
Android网络编程——https 不验证证书方式(信任所有证书
xyzlmn的专栏
09-28 624
前面写了http的联网方式,Android平台上经常有使用https的需求,对于https服务器使用的根证书是受信任证书的话,实现https是非常简单的,直接用httpclient库就行了,与使用http几乎没有区别。但是在大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在...
android httpclient 证书验证码,android上不受信任证书错误和httpclient
weixin_34853926的博客
05-28 307
我正在使用Apache HttpClient库来设置https连接.不幸的是Android给了我一个"不值得信任的服务器证书"错误.如果我使用手机浏览器浏览网站,它会正确验证证书,这让我相信我需要让HttpClient"知道"手机上的根证书.这是我的HttpClient设置代码:HttpParams params = new BasicHttpParams();HttpConnectionPara...
Android平台实现https信任所有证书的方法
adeyi的专栏
02-02 6024
Android平台上经常有使用https的需求,对于https服务器使用的根证书是受信任证书的话,实现https是非常简单的,直接用httpclient库就行了,与使用http几乎没有区别。    但是在大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之
Android代码数字证书,android数字签名
weixin_29391349的博客
05-26 247
android数字签名2018-10-23Android要求所有已安装的应用程序都使用数字证书做数字签名, 数字证书的私钥由应用开发者持有. Android使用证书作为标识应用程序作者的一种方式, 并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名: 完全可以使用自签名证书沃通(WoSign)安卓代码签名证书,企业和个人开发者都可以使用沃通安卓(A...
Android Studio支持系统签名(证书)
嵌入式Linux
11-01 2567
候,我们开发的apk需要用到系统权限,需要在AndroidManifest.xml中添加共享系统进程属性:   android:sharedUserId="android.uid.system" android:sharedUserId="android.uid.shared" android:sharedUserId="android.media" 这候apk的签名就需要是系...
Android信任Https自签名证书详细教程
hyhlmy的博客
04-04 8900
Android信任自签名证书前言问题描述环境准备生成自签名证书搭建tomcat服务器tomcat配置证书代码实现信任所有证书(不推荐)信任指定证书导入自签名证书信任自签名证书代码总结示例代码地址 前言 在上一篇 一文读懂Https原理 中,我主要介绍了Https的安全机制和实现原理,比较偏向于理论研究,可能会有点抽象。为了加深理解,今天写一篇Https的实战教程,主要介绍Https在Android...
android权限申请说明
sytregn的博客
05-09 216
Android开发中,权限是指应用程序需要访问特定的设备功能或数据所需的用户许可。从Android 6.0(API级别23)开始,Android引入了运行权限模型,在应用程序运行期间向用户请求权限,而不是在安装请求。举例手机外部读写和设备状态权限
Kotlin入门指南:Android开发者篇
Kotlin在Android开发中的广泛应用源于其简洁、安全和交互性,自Android Studio 3.0版本起,Google正式将Kotlin列为推荐的开发语言。 1. **Kotlin简介** - Kotlin是一种静态类型的编程语言,设计考虑了现代编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值