安卓四大组件介绍

安卓四大组件介绍

四大组件

活动界面（activity）

用户操作可视化界面，它为用户提供了一个完成操作指令的窗口

操作指令：滑动、点击等

服务（service）

用于在后台完成用户指定的操作

广播接收者（Broadcast receive）

应用程序之间传输信息的机制

例如一个监视手机电量的程序。那么他就可以向系统发送一个广播获取电量信息。系统可以接受广播也可以发送广播，所以系统可以发送一个广播来传输手机电量这么一个信息

内容提供者（Content Provider）

为其他应用提供数据，比如sqlite数据库

sqlite数据库为应用程序停工数据存储，列入用户的账户信息、cookie信息。在逆向的时候可以分析sqlite中是否存在敏感信息

组件安全

activity

• 点击劫持

  例如有一个apk，它开发了一个透明界面，可以覆盖在你原来的程序之上。比如覆盖在输入账号密码的界面，那么当你输入账号密码的时候，它就可以劫持输入的账户密码信息发送到后台，攻击者就可以获取账号和密码

• 拒绝服务

  组件被其他程序调用时，没有对调用参数做严格的过滤，而导致应用程序崩。

  例如攻击者可以编写一个apk一直调用存在漏洞的页面，就会导致程序一打开就崩溃

• 组件导出

  在android manifest定义了组件导出功能后，可能存在组件导出漏洞。如果这个组件导出导致了信息泄露或者拒绝服务，那么就是组件导出攻击

service

• 串谋攻击

  本来你没有权限，但是你通过他的权限来调用其他权限，就会造成串谋攻击

• 拒绝服务攻击

  只要服务存在被其他程序调用，就会存在拒绝服务攻击。前提就是这个程序没有对调用的一些参数做严格的过滤

Broadcast Receiver

• 恶意广播

  没有对参数进行严格的过滤，可能导致你的程序崩溃，或者接受一些垃圾广播

Content Provider

• sqlite数据库SQL注入

  在调用数据库数据时，没有对参数进行严格的过滤，导致攻击者随意拼接sql，进行自定义的查询。例如查询用户名的时候，攻击者通过拼接sql查询出密码，导致密码泄露。这就是一个sql注入攻击

• 另外sqlite数据如果没有使用加密数据存储，则可以在该应用的安装目录找到数据库，里面看你会包含一些日志、cookie等敏感信息。