Android安全广播,Android广播的安全性

广播的分类

定义分类

系统广播

由Android系统内部自动发出，用户只负责接收

自定义广播

由开发者自己定义的广播

注册方式分类

动态注册

在代码中注册的

静态注册

动态注册要求程序必须在运行时才能进行，如果需要在程序还没启动的时候就可以接收到注册的广播，就需要静态注册了。主要是在AndroidManifest中进行注册

发送方式分类(只能是自定义广播)

标准广播

没有先后顺序可言，不能修改内容，无法被截断

有序广播

根据优先级依次向后传播，优先级相同时动态注册高于

静态注册，abortBroadcast()可截断广播

广播的安全性

Android中的广播可以跨进程甚至跨App直接通信，可能会收到其他app发送的相同的自定义广播，也可能被其他app收到并获取其中信息。一些增加安全性的方案包括：

1. 静态注册自定义广播时 android:exported="false" 属性设置false，不接收其他App内部发出的此广播

2. 发送自定义广播时，intent.setPackage(packageName)指定包名，这样此广播将只会发送到此包中的App内与之相匹配的有效广播接收器中

3. 采用LocalBroadcastManager的方式直接发送本地广播

IntentFilter intentFilter = new IntentFilter();

intentFilter.addAction("xxx");

localBroadcastManager = LocalBroadcastManager.getInstance(this); //获取实例

localBroadcastManager.registerReceiver(myBroadcastReceiver, intentFilter); //注册本地广播监听

localBroadcastManager.sendBroadcast(new Intent("xxx")); // 发送本地广播

localBroadcastManager.unregisterReceiver(myBroadcastReceiver);//退出时解除注册

注意：AndroidX废除了localBroadcastManager 直接使用Context的registerReceiver()、sendBroadcast()、unregisterReceiver() 进行注册、发送、解除

4. 在广播发送和接收时，都增加上permission，用于权限验证

4.1. 自己定义权限，并且使用自定义权限

android:name="my.permission.name"

android:label="BroadcastReceiverPermission"

android:protectionLevel="signature">

android:protectionLevel属性如下:

normal：默认的，应用安装前，用户可以看到相应的权限，但无需用户主动授权。

dangerous：normal安全级别控制以外的任何危险操作。需要dangerous级别权限时，Android会明确要求用户进行授权。常见的如：网络使用权限，相机使用权限及联系人信息使用权限等。

signature：它要求权限声明应用和权限使用应用使用相同的keystore进行签名。如果使用同一keystore，则该权限由系统授予，否则系统会拒绝。并且权限授予时，不会通知用户。它常用于应用内部。把protectionLevel声明为signature。如果别的应用使用的不是同一个签名文件，就没办法使用该权限，从而保护了自己的接收者。

4.2. 如果采用静态注册的方式：

android:name=".common.MyBroadcastReceiver"

android:exported="false"

android:permission="my.permission.name">

4.3. 如果采用动态注册的方式:

//注册receiver时，指定发送者的权限，不然外部应用可以收到receiver

registerReceiver(receiver, intentFilter, "my.permission.name", null);