android应用安全——组件通信安全(Intent)

最新推荐文章于 2021-02-26 21:57:58 发布
最新推荐文章于 2021-02-26 21:57:58 发布
阅读量1.5w 收藏 26
点赞数 8
分类专栏: android 应用安全 android应用安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyz_lmn/article/details/8803467
版权

       这里主要涉及到了Activity、Content Provider、Service、Broadcast Receiver等。这些如果在Androidmanifest.xml配置不当,会被其他应用调用,引起风险。android应用内部的Activity、Service、Broadcast Receiver等,他们通过Intent通信,组件间需要通信就需要在Androidmanifest.xml文件中暴露组件,前面提到的风险就有可能是不恰当的组件暴露引起的。

     一、Intent基础知识

Intent启动不同组件的方法如下:         

组件名称

方法名称

Activity                                                                         

startActivity()

startActivityForResult()                                                                                                                                               

Service

startService()

bindService()

Broadcasts

sendBroadcast()

sendOrderedBroadcast()

sendStickyBroadcast()

 

     Intent的两种基本用法:一种是显式的Intent,即在构造Intent对象时就指定接收者;


另一种是隐式的Intent,即Intent的发送者在构造Intent对象时,并不知道也不关心接收


者是谁,有利于降低发送者和接收者之间的耦合。


     显示调用例子:


Intent intent =  new  Intent();
intent.setClassName( "com.samples.intent.simple" , 
                     "com.samples.intent.simple.TestActivity" );
startActivity(intent);

Intent intent =  new  Intent(A.activity,B.class);
startActivity(intent);



     隐式调用例子


Intent intent =  new  Intent(Intent. ACTION_DIAL );
startActivity(intent);
Intent intent =  new  Intent("com.test.broadcast");
intent.putString("PASSWORD","123456"); 
sendBroadcast(intent);
Intent intent =  new  Intent("com.test.service");
intent.putString("USERNAME","test"); 
startService(intent);


  显示调用和隐式调用都能过在不同应用间传递数据。


二、可能产生的风险:

       

        1、恶意调用


          2、恶意接受数据


          3、仿冒应用,例如(恶意钓鱼,启动登录界面)


          4、恶意发送广播、启动应用服务。


          5、调用组件,接受组件返回的数据


       6、拦截有序广播


         上面也是想到了一部分,应用中应该会有更多的例子。


三、怎样避归风险:

       

       1、最小化组件暴露

       不参与跨应用调用的组件添加android:exported="false"属性,这个属性说明它是私有的,只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。

      

  <activity
            android:name=".LoginActivity"
            android:label="@string/app_name"
            android:screenOrientation="portrait" 
            android:exported="false">



       2、设置组件访问权限


        参与跨应用调用的组件或者公开的广播、服务设置权限。设置权限如下:


    (1)组件添加android:permission属性。


<activity android:name=".Another" android:label="@string/app_name"
           android:permission="com.test.custempermission">


</activity>


       (2)声明< permission>属性

<permission android:description="test"  
        android:label="test"  
        android:name="com.test.custempermission"  
        android:protectionLevel="normal">  
    </permission>

     protectionLevel有四种级别normal、dangerous、signature、signatureOrSystem。signature、signatureOrSystem时,只有相同签名时才能调用。


       (3)调用组件者声明<uses-permission>


<uses-permission android:name="com.test.custempermission" />



       3、暴露组件的代码检查


        Android 提供各种 API 来在运行时检查、执行、授予和撤销权限。这些 API


 是 android.content.Context 类的一部分,这个类提供有关应用程序环境的全局信息。

if (context.checkCallingOrSelfPermission("com.test.custempermission")
        != PackageManager.PERMISSION_GRANTED) {
            // The Application requires permission to access the  
            // Internet");
} else {
    // OK to access the Internet
}


/**
* @author 张兴业
*  iOS入门群:83702688
*  android开发进阶群:241395671
*  我的新浪微博:@张兴业TBOW
*/


        

参考:android安全-intent

               Android 安全架构及权限控制机制剖析

http://www.ibm.com/developerworks/cn/opensource/os-cn-android-sec/

xyz_lmn
关注
  • 8
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Android通过Intent分享文件到外部应用时找不到资源
qq_35540562的博客
10-25 861
今天在做一个通过Intent把文件分享到微信的功能,遇到微信一直返回“获取资源失败”的问题。 代码如下: Intent intent = new Intent(); //设置intent的Action属性 intent.setAction(Intent.ACTION_SEND); // 授权读权限 intent.addFlags(Intent.FLAG_GRANT_READ_URI_PERMISS...
判断Intent是否安全的方法
Markus
08-07 876
提前验证是否有APP可以接受一个Intent,这样可以在发送Intent前,避免发送的Intent没有能够接收的APP,导致FC。 方法一: Intent intent = getInstallAppIntent(activity, appFile); if (activity.getPackageManager().queryIntentActivities(intent, 0).siz...
Android 中拦截 Activity 的启动(拦截系统的 Intent
热门推荐
有酒平步上青天
03-18 1万+
目的最近因为项目需要,我们自己定制的只能硬件里面没有系统的电话、相机、短信、浏览器等组件,如果其他 App 来发 Intent 调用的话,程序就会崩溃。要求我们做一个系统拦截,拦截这些意图。有几种方法: 1.写一个 App 专门来拦截这些 Intent。(通用性比较高) 2.在源码层做拦截。(比较简单)给程序加锁360等相关程序可以给我们装上的应用程序加锁,也就是我们在点开某个应用程序的时候,会
关于“Android所有根Activity中的Intent都存在被其它程序读到风险”的研究
Roland_Sun的专栏
06-05 2667
这几天在研究Android Application Secure Design/Secure Coding
Intent传递数据时,需要注意的点
狂奔的奶牛
11-03 807
一般页面之间传递对象为了方便直接使用Intentintent.putExtra(“”,parcelable);使用后会报一个这样的错,应用正常运行。 将对象存入Bundle中,Bundle存入Intent中再传就不会出现报错。 但是,有些时候直接使用Intent传也不会报错。下面是引自 http://blog.csdn.net/rooney8/article/details/41308495?
Android开发与应用——张荣,原书配套课件
10-05
这是Android开发与应用,原书配套的课件,作者张荣,目录如下。 第1章 Android简介 1.1 手机操作系统 1.2 Android起源 1.3 Android特征 1.4 Android体系结构 1.4.1 应用层 1.4.2 应用框架层 1.4.3 ...
Android应用开发详解pdf.pdf
03-14
 第二篇 技术篇第6章 Android组件之间的信使IntentAndroid 组件之间的信使Intent,讲述了Intent对象及其属性、Intent的实现策略和Intent的常见应用  第7章 Android Service组件Android Service组件,讲述了...
Android Activity之间相互调用与传递参数的原理与用法分析
01-20
本文实例讲述了Android Activity之间的相互...在Android中有3大组件:Activity,Service、Broadcast,他们之间的通信都是通过Intent来完成的,所以Intent其实就是告诉他们之间的每一个人,要干什么事情。 创建自己的
android程序设计ppt
03-31
第一个Android程序、Android常见界面布局、Android基本界面控件、Android高级控件、Android菜单与对话框、Android数据存储、Android电话和短信、Android组件内部通信——IntentAndroid服务Service、Android中...
新版Android开发教程.rar
12-14
应用程序框架 支持组件的重用与替换 • Dalvik Dalvik Dalvik Dalvik 虚拟机 专为移动设备优化 • 集成的浏览器 基于开源的 WebKit 引擎 • 优化的图形库 包括定制的 2D 图形库, 3D 图形库基于 OpenGL ES 1.0 ...
利用工具类解决intent传输数据有安全限制
nahfang的博客
11-14 283
E/JavaBinder: !!! FAILED BINDER TRANSACTION !!! (parcel size = 1571892),当出现这个报错的时候很可能是因为在向A->B传递数据时由于intent安全限制,如果数据量过大会报错。解决方法有很多种可以压缩传递,借用操作类等等。 我现在用到的是操作类去完成数据在不同活动间的传递: object DataHolder { private val bigData :MutableMap<String,Any> = mut
外部程序调用Activity的几种方法总结
编程小栈
07-22 5115
1. 组件导出 activity 组件导出可以使用外部程序调用我们的Activity 组件的属性是 android:exported 属性的值 = “true” Activity 的权限的属性值是空,normal, dangerous 是不安全的 即 android:permission = null,normal, dangerous 这个时候可以使用外部的程序来调用我们的activity...
安卓开发之关于外部存储不可用的解决办法(Android studio)
巴胡子
03-09 2420
Android应用开发中,常使用Environment类去获取外部存储目录,在访问外部存储之前一定要先判断外部存储是否已经是可使用(已挂载&可使用)状态,并且需要在AndroidManifest.xml文件中添加外部存储读和写的权限 Environment类中提供了几个静态常量用于标识外部存储的状态,这些状态都是String类型 MEDIA_BAD_REMOVAL 在没有挂载前存储媒体...
Android 之 在应用中获取其他应用的启动Intent
ruilin521314
08-03 782
在自己的应用开发过程中,有可能需要在自己的应用中启动其他应用,此时,如果应用对外公开了自己的启动Intent方式,可以直接创建该Intent,然后通过startActivity(myIntent)。 这种方式相信都很熟悉。 如果不知道想要启动的应用Intent,也有两个方法可以实现这个功能。 1、通过反编译这个应用的apk,在该应用AndroidManifest.xml中找到该应用的第一...
AS里面 各种应用的调用及Intent的用法
s56564的博客
03-08 2119
Android中提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android则根据此Intent的描述,负责找到对应的组件,将 Intent传递给调用的组件,并完成组件的调用。Intent不仅可用于应用程序之间,也可用于应用程序内部的 Activity / Service之间的交互。因此,Intent在这里起着一个媒体中介的...
2019 Android 精选版面试题级答案(Android+Java+算法+性能优化+四大组件...)
weixin_44339238的博客
10-25 2506
JAVA 相关 1.静态内部类、内部类、匿名内部类,为什么内部类会持有外部类的引用?持有的引用是this?还是其它? 静态内部类:使用static修饰的内部类 内部类:就是在某个类的内部又定义了一个类,内部类所嵌入的类称为外部类 匿名内部类:使用new生成的内部类 因为内部类的产生依赖于外部类,持有的引用是类名.this 2.Java中try catch finally的执行顺...
移动安全学习笔记——组件安全之BroadcastReceiver组件漏洞挖掘
0nc3的博客
02-26 1382
0x00 BroadcastReceiver简介 1、漏洞场景 广播即intent; 当发送一个广播时,系统会将发送得到广播与系统中已注册的符合条件的接收者的intent-filter进行匹配,若匹配成功,则执行相应接收者的onReceive函数; 发送广播时如果处理不当,恶意app便可以嗅探、拦截广播,致使敏感数据泄露; 接收广播时处理不当则可以导致拒绝服务、消息伪造、越权操作。 2、漏洞分类 信息泄露 消息伪造 权限绕过 拒绝服务 0x01 敏感信息泄露 1、漏洞原理 发送的in
常见组件安全
LainWith的博客
08-10 873
组件安全 - 常见组件安全常见组件关注的问题Apache解析漏洞 常见组件 操作系统 windows|linux web容器 Apache|Tomcat|Nginx|IIS 中间件 php|java|python|perl 数据库 MySQL|oracle|SQL Server|Access|Redis 其他组件 phpStudy|weblogic|JBoss 关注的问题 组件与漏洞名称 影响版本 漏洞的检测 漏洞的复现 漏洞的利用(漏洞场景.工具) 修复方案 Apache解析漏洞 在1.x
IntentAndroid应用程序基本组件吗
最新发布
05-25
是的,IntentAndroid应用程序的基本组件之一。它是在应用程序组件之间传递数据和执行操作的机制。通过使用Intent,您可以启动活动(Activity),启动服务(Service),发送广播(Broadcast),以及启动其他应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值