Android 安全:移除不必要的三方依赖权限

最新推荐文章于 2024-03-01 13:58:29 发布
最新推荐文章于 2024-03-01 13:58:29 发布
阅读量6.5k 收藏 12
点赞数 10
分类专栏: Android 安全 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010635353/article/details/106115320
版权

出现原因

平时开发过程中避免不了要使用一些三方依赖来实现我们的需求,但是有时三方申请的权限,我们并没有使用到,但是打包过程中又会合并到AndroidManifest.xml文件中,这就造成了权限滥用的风险。

风险描述

权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开放过多、自定义权限限制不严格,导致攻击者利用应用权限可以使用某些特殊的功能,如拨打电话、访问摄像头、利用麦克风录音、编写并植入木马等。可能导致隐私数据泄露,钓鱼扣费等风险。

查看apk中权限

使用aapt工具
命令:aapt dump badging xxx.apk
在这里插入图片描述
结果如下:
在这里插入图片描述

移除权限

在app下AndroidManifest.xml中使用 tools:node="remove",在打包时移除权限.

    <uses-permission
        android:name="android.permission.VIBRATE"
        tools:node="remove" />

移除后,查看新包中权限,结果如下:
在这里插入图片描述
发现在新的apk中,没有了"android.permission.VIBRATE"权限。

阿东_Luck
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android5.1 取消录制屏幕跳出的权限对话框问题
08-30
但这可能违反Android安全策略,不推荐这样做,因为这样会绕过系统的权限管理机制。 需要注意的是,对系统源码的修改通常只适用于自定义ROM或开发环境。对于标准的Android系统,这种做法是不可行的,因为它涉及...
android悬浮窗,android无需权限的悬浮窗
07-29
android无需权限的悬浮窗例子 android悬浮窗权限 android拖动视图 安卓悬浮窗 安卓悬浮球 android悬浮球 大部分人实现的悬浮窗都需要授权悬浮窗权限,否则无法使用,但本人开发这个悬浮窗无需权限,稳定美观,带滑动...
Android如何移除第三方SDK中的权限声明
最新发布
u013083465的专栏
03-01 797
在app下AndroidManifest.xml中使用 tools:node="remove",在打包时移除权限.
合规检测—安卓移除第三方包中申请的权限
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
07-13 410
我们在引用第三方库的时候,第三方内部可能申请了一些非必要权限,合规检测时候会排查出来,第三方库有的我们不能修改,所以想要移除这个非必要权限需要以下方法。原文链接:https://blog.csdn.net/qq_26530191/article/details/126366724。在manifest文件中添加如下代码,移除非必要的权限,tools:node=“remove”
android - 安卓如何限制依赖的包的权限?
丿灬安之若死
04-13 864
权限后面加 tools:node="remove" <!-- 移除应用锁不需要的第三方jar 权限--> <uses-permission android:name="android.permission.READ_SMS" tools:node="remove"/> <uses-permission android:name="and...
依赖第三方环境和服务
技术进阶之路
07-02 765
一切依赖第三方环境和服务的测试都不能叫做单元测试 单元测试的粒度 单元测试的是围绕着一个单点的功能来展开的,如果加入其他依赖因素,就会对单元测试的结果造成干扰,所以单元测试一定要把依赖因素给排除掉。 如何消除依赖 组件本地化实现 这种情况常见于数据库和中间件的依赖。比如dao层单元测试,要验证mysql的sql语句的执行情况,那就不能直接使用测试环境的数据库来作为单测的基础设施,毕...
Android Studio--低版本如何不使用AndroidX编译
热门推荐
weikunyu的专栏
10-15 1万+
最近AS升级为3.2.1,根据AS提示升级Gradle后,发现项目使用的是AndroidX作为依赖,并且旧的依赖包也更换为新的AndroidX依赖包,于是项目出现各种问题,集成的Lib无法使用、一些旧功能Lib Api更换过于繁杂,使得项目无法编译。 而AS编译提示比较生硬,瞎跟着提示处理异常,结果发现怎么弄都不行,使用AndroidX也不行,不用也不行·····最后无奈翻墙下发现官方文档已有解...
AndroidLocation:使用FusedLocationApi更新Android位置
05-17
它会根据设备状态智能地选择最佳来源,减少不必要的电源消耗。 总的来说,`FusedLocationProviderApi`是Android开发中获取精确、高效位置信息的理想选择。正确配置和使用它可以为用户提供无缝的定位体验,同时考虑...
Android 实现永久性开启adb 的root权限
08-19
第二种修改方式适用于Android JB版本(4.1)之后,这时Google从编译层面移除了对adbd的user版本root权限的支持。为了重获root权限,需要对`system/core/adb/Android.mk`中的编译选项`ALLOW_ADBD_ROOT`进行设置。如果...
解决Android Studio 3.0 butterknife:7.0.1配置的问题
08-28
尽管可以使用`android.defaultConfig.javaCompileOptions.annotationProcessorOptions.includeCompileClasspath = true`来恢复旧的行为,但这是一种临时解决方案,并且已经被标记为已弃用,未来可能会完全移除。...
Android 删除动态依赖中的三方依赖
凌云志
08-22 1880
解决安卓依赖冲突
Android打包剔除指定权限
遇见Android
05-07 2032
近期上架GooglePlay商店被拒,因为出现了没有添加的权限。 在app/build.gradle 文件下添加如下代码: project.afterEvaluate { project.android.applicationVariants.all { variant -> variant.outputs.each { output -&gt...
Android】Manifest和Repo详解
weixin_41028159的博客
12-18 2211
?可以设置多个remote地址,用后面的name区分。后面可以选择使用哪一个remote地址。name: 远程git服务器的名字,直接用于git fetch, git remote 等操作alias: 远程git服务器的别名,如果指定了,则会覆盖name的设定。在一个manifest中, name不 能重名,但alias可以重名。fetch: 所有projects的git URL 前缀review: 指定Gerrit的服务器名,用于repo upload操作。
android 删除文件 权限不够,为什么从AndroidManifest.xml删除权限无效?
weixin_34803466的博客
05-29 472
每个android lib都包含带有包,权限,活动性等的清单文件,因此您的应用程序将显示依赖项中的所有权限.您可以在{projectDir} / {moduleDir} / build / outputs / logs / manifest-merger-*-report.txt中查看最终清单创建日志.该日志将包含类似的内容uses-permission#android.permission.IN...
Android 上传APP到Google Play权限问题
迦南的专栏
07-01 1128
一、概述 上传APP到Google Play时权限android.permission.READ_PHONE_STATE不能通过,解决方案三种:方法一、去掉给权限;方法二、添加隐私协议链接;方法三、在使用权限处添加属性。本文讲解的是方法三; 二、解决方案 2.1 在manifest标签中添加 xmlns:tools="http://schemas.android.com/tools" 2.2 在权限中添加tools:node="remove" <uses-permi...
关于小米平台“未经许可读取个人信息”的解决方案
A1250929696的专栏
10-09 6044
小米平台“未经许可读取个人信息”
合并多个清单文件 AndroidManifest.xml tools:node=“replace“ uses-sdk tools:overrideLibrary
qq_42015021的博客
03-22 1383
APK 或 Android App Bundle 文件只能包含一个 AndroidManifest.xml 文件,但 Android Studio 项目可以包含多个清单文件,这些清单文件由主源代码集、build 变体和导入的库提供。因此,在构建应用时,Gradle 构建系统会将所有清单文件合并成一个清单文件打包到应用中。清单合并工具遵循某些合并启发法和您使用特殊 XML 属性定义的合并偏好设置,来将各个清单文件中的所有 XML 元素组合在一起。
Android 删除 SDK权限
u011482814的专栏
12-23 2294
Android Studio 在使用外部 library 的时候,有一套 manifest 的合并机制,官方也提供了 maker 工具进行修改合并规则。 假设需要移除android.permission.ACCESS_FINE_LOCATION” 权限,则可以在 app 的 AndroidManifest.xml 文件中,添加如下声明: tools:node="remove" 为删除标记 <uses-permission android:name="android.p
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值