android限制app的敏感ContentProvider的可访问性

最新推荐文章于 2023-03-22 21:05:59 发布
最新推荐文章于 2023-03-22 21:05:59 发布
阅读量986 收藏
点赞数
分类专栏: android 文章标签: android ContentProvider

ContentProvider类提供了与其他app管理和共享数据的机制。当与其他app共享provider的数据时,必须小心的实现访问控制,防止对敏感数据的非法访问。

限制ContentProvider的访问有三种方法:

Public

Private

Restricted access

 

[Public]

在AndroidManifest.xml文件中声明android:exported属性,ContentProvider就可以公开给其他app使用,Android API Level 16之前的版本,ContentProvider默认是public的,除非显式的声明android:exported=“false”,例如:

<provider android:authorities="com.example.mycontentprovider" android:exported="true" android:name="MyContentProvider"></provider>

如果ContentProvider被设置为Public,那么存储在ContentProvider里面的数据就可以被其他app访问到。因此,设计上必须保证只公开了非保密的信息。

 

[Private]

在AndroidManifest.xml文件中声明android:exported属性,可以将ContentProvider设置为Private的。从Android API Level 17及之后的版本,ContentProvider默认是Private的,不需要显式声明,例如:

<provider android:authorities="com.example.mycontentprovider" android:exported="false" android:name="MyContentProvider"></provider>

如果ContentProvider不需要与其他app共享数据,那么就在manifest文件中声明android:exported=“false”,需要注意的是,在API Level 8及之前的版本,即使你显式声明android:exported=“false”,对应的ContentProvider还是能够被其他app访问到。

 

[Restricted Access]

未完待续

 

[不符合安全要求的代码例子]

MovatwiTouch,一个Twitter客户端,使用ContentProvider来管理Twitter的用户的key,secret和access token,然而这个ContentProvider是Public的,这使得安装在同一台手机上的其他应用可以获取到这些敏感信息。

下面的AndroidManifest.xml文件中Provider声明没有指定android:exported属性,因此,在API Level 16之前,这个ContentProvider是公开的。


<provider android:authorities="jp.co.vulnerable.accountprovider" android:name=".content.AccountProvider"></provider>

[概念验证]

下面的代码展示了Public的ContentProvider漏洞如何被利用

// check whether movatwi is installed.
try {
  ApplicationInfo info = getPackageManager().getApplicationInfo(jp.co.vulnerable, 0);[cjl5]
} catch (NameNotFoundException e) {
  Log.w(TAG, the app is not installed.);
  return;
}
// extract account data through content provider
Uri uri = Uri.parse(content://jp.co.vulnerable.accountprovider);
Cursor cur = getContentResolver().query(uri, null, null, null, null);[cjl6]
StringBuilder sb = new StringBuilder();
if (cur != null) {
  int ri = 0;
  while (cur.moveToNext()) {
    ++ri;
    Log.i(TAG, String.format(row[%d]:, ri));
    sb.setLength(0);
    for (int i = 0; i < cur.getColumnCount(); ++i) {
      String column = cur.getColumnName(i);
      String value = cur.getString(i);
      if (value != null) {
        value = value.replaceAll([
], );
      }
      Log.i(TAG, String.format( %s: %s, column, value));
    }
  }
} else {
  Log.i(TAG, Can't get the app information.);
}

[解决方案]

AndroidManifest.xml文件中将ContentProvider显式声明为

android:exported=“false”
<provider android:authorities="jp.co.vulnerable.accountprovider" android:exported="false" android:name=".content.AccountProvider"></provider>



vipdatoucth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发——contentprovider
white_wolf2020的博客
11-24 304
contentprovider是安卓四大组件之一。 自建一个provider,然后在另一个app中使用resolver调用这个provider
Android基础 -- Android ContentProvider
sinat_33150417的博客
08-01 295
作为同属Android四大组件之一的ContentProvider,出场频率似乎没有Activity、Service、Broadcast高,但是同样有着很重要的应用场景,下面和小伙伴们一起看看有关于ContentProvider的这些事。 一、什么是ContentProvider,它有什么作用 ContentProvider是内容提供者,可以用ContentProvider进行进程间的数...
Android 演示ContentProvider组件用法的写日记APP源码.rar
07-10
本源码主要是演示Android ContentProvider组件的使用,借助一个写日记小程序来演示组件中各种方法的使用技巧,比如向日记本中插入一条数据,编辑当前数据内容、删除当前数据、查询cursor时候,感兴趣的那些条例如何调用等。   在Diary.java中,AUTHORITY 要求是唯一,而且和Manifest当中provider标签的AUTHORITY内容一致。   在ActivityMain.java中,在每一次menu生成的时候前都会调用这个方法,在这个方法里边可以动态的修改生成的menu。
Android平台中的安全编程】の #01-限制app敏感ContentProvider的可访问
ASCE1885
06-10 2087
ContentProvider类提供了与其他app管理和共享数据的机制。当与其他app共享provider的数据时,必须小心的实现访问控制,防止对敏感数据的非法访问限制ContentProvider访问有三种方法: Public Private Restricted access
Android 应用程序之间数据共享—ContentProvider
zhqingyun163的专栏
11-03 1347
源自:http://www.moandroid.com/?p=157 在Android 应用程序之间数据共享—-ContentResolver中,已经说明了Android是如何实现应用程序之间数据共享的,并详细解析了如何获取其他应用程序共享的数据。ContentProviders存储和检索数据,通过它可以让所有的应用程序访问到,这也是应用程序之间唯一共享数据的方法。那么如何将应用程序的数据暴露
Android--ContentProvider
weixin_34191734的博客
08-15 122
前言   本篇博客讲讲ContentProvider,内容提供者。前面已经讲过了数据持久化,但是除了共享内存(SDCard)的数据外,其他包括SQLite、SharedPreferences都是仅限于被当前所创建的应用访问,而无法使它们的数据在应用程序之间交换数据,所以Android提供了ContentProviderContentProvider是不同应用程序之间进行数据交换的标准API。虽...
AndroidContentProvider
a362523的博客
09-08 639
参考博客:http://blog.csdn.net/luoshengyang/article/details/6950440 ContentProvider两个重要的作用: 1、访问数据的统一接口 2、让数据在不同的应用程序之间共享 (即可以将ContentProvider简单理解成应用程序将自己要共享的数据放到ContentProvider中,其它应用程序可以通过ContentProvid
android 数据共享(ContentProvider
10-04
Android系统中,数据共享是应用之间相互交互的重要方式,ContentProvider则是官方推荐的实现这一功能的核心组件。...理解并掌握ContentProvider的使用,对于提升Android应用的可扩展和协作至关重要。
InventoryApp:Ansdroid Sample App使用ContentProvider将项目存储在数据库中
05-08
总的来说,InventoryApp提供了一个生动的实例,展示了ContentProviderAndroid开发中的重要和实用。通过这个项目,开发者可以深入理解ContentProvider的工作机制,掌握如何构建和使用自定义的ContentProvider,...
android provider 外部无法调用,关于ContentProvider 我外部不能访问
weixin_39682897的博客
05-28 560
该楼层疑似违规已被系统折叠隐藏此楼查看此楼这是定义的外部访问public void click(View v) {// 得到手机的中间人ContentResolver cr = getContentResolver();// 这个类是package com.example.hello.MainActivity// 访问外部 数据库 com.example.sqltest.per...
ContentProviderAPP读取数据失败
Aven的专栏
03-14 4423
一、问题场景      现在有两个应用,一个是应用A,另一个是应用B,B是做为插件的形式存在,服务于A,当应用A需要数据时,则通过ContentProvider去拿数据回来。但是现在有个问题,就是在Android版本5.x上,有一个是否允许自启动权限,这个权限会影响到应用A向应用B获取数据。我们先来看看下面几个场景: 场景一:安装应用A,再安装应用B,打开应用B的自启动权限,这个时候激
android-为自己的APP写一个ContentProvider
年轻人,潜力无限!
05-19 593
ContentProvider就是提供一些接口,暴露给其他APP分享自己的数据 实际中是很少自己写ContentProvider的,但了解原理后,就能理解从别的APP提取数据,,如短信内容,联系人信息 A分享给B 步骤: 1、在A的Manifest中:             android:name="com.example.sql.myprovider"
ContentProvider权限设置
robert的专栏
05-07 1万+
SQLiteDatabase db= databaseHelper.getWritableDatabase(); Cursor cursor = db.query("person", new String[]{"id,name,age"},   "name like ?", new String[]{"%robert%"},null,null, "id desc", "1,2"); ...
android数据存储与访问之使用ContentProvider
mmdev
06-19 121
ContentProvider简介及其好处 简介: ContentProviderandroid中的作用是对外共享数据,也就是说你可以通过ContentProvider应用中的数据共享给其他应用访问,其他应用可以通过ContentProvider 对你应用中的数据进行添删改查。关于数据共享,以前我们学习过文件操作模式,知道通过指定文件的操作模式为Context.MODE_WORLD_RE...
ContentProviderAPP使用自己的数…
sinat_31820805的博客
10-13 457
ContentProvider就是一个内容提供者,向一个Activity一样,需要在Manifest中声明,声明之后就可以用ContentResolver通过被定义好的Uri来访问。 注意,在代码中: 1、必须声明此ContentProvider的唯一标识符 AUTHORITY 2、定义静态变量CODE,标识被访问的数据库中的资源(表) 3、添加Uri,算是提供给用户的访问接口,用户就通过Uri
Android - ContentProvider
最新发布
m0_59482482的博客
03-22 220
ContentProvider主要用于在不同的应用程序之间实现数据共享的功能,它提供了一套完整的 机制,允许一个程序访问另一个程序中的数据,同时还能保证被访问数据的安全。目前,使 用ContentProviderAndroid实现跨程序共享数据的标准方式。ContentProvider 可以选择只对哪一部分数据进行共享,从而保证我们程序中的隐私数据不会有泄漏的风险。
IntentService更新appFileProvider不能覆盖安装的问题
hcq__yy的专栏
08-17 287
今天用 IntentService里不能用FileProvider共享文件方式为闪退 if (Build.VERSION.SDK_INT &lt; Build.VERSION_CODES.N) { intent.setDataAndType(Uri.fromFile(file), "application/vnd.android.package-archive"); } else ...
Pro Android学习笔记(六六):安全和权限(3):Provider权限
热门推荐
愷风(Wei)的专栏
12-19 2万+
访问其他应用content provider 我们在ProPermission中提供了一个content provider,成为PrivProvider,然后在ProPermissionClient中对调用这个provider接口。在ProPermission的AndroidManifest.xml中,对provider声明如下:     android:authorities="c
Android学习笔记:全屏设置、启动AppContentProvider权限详解
这是因为ContentProvider的安全设置,`android:exported`属AndroidManifest.xml中起到决定作用。如果设置为`true`,意味着ContentProvider对外暴露,其他应用可以访问;若设置为`false`,则只允许应用或具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值