android限制app的敏感ContentProvider的可访问性
来源:互联网 发布:苍云正太脸型数据 编辑:程序博客网 时间:2024/05/21 20:29
ContentProvider类提供了与其他app管理和共享数据的机制。当与其他app共享provider的数据时,必须小心的实现访问控制,防止对敏感数据的非法访问。
限制ContentProvider的访问有三种方法:
Public
Private
Restricted access
[Public]
在AndroidManifest.xml文件中声明android:exported属性,ContentProvider就可以公开给其他app使用,Android API Level 16之前的版本,ContentProvider默认是public的,除非显式的声明android:exported=“false”,例如:
<provider android:authorities="com.example.mycontentprovider" android:exported="true" android:name="MyContentProvider"></provider>
如果ContentProvider被设置为Public,那么存储在ContentProvider里面的数据就可以被其他app访问到。因此,设计上必须保证只公开了非保密的信息。
[Private]
在AndroidManifest.xml文件中声明android:exported属性,可以将ContentProvider设置为Private的。从Android API Level 17及之后的版本,ContentProvider默认是Private的,不需要显式声明,例如:
<provider android:authorities="com.example.mycontentprovider" android:exported="false" android:name="MyContentProvider"></provider>
如果ContentProvider不需要与其他app共享数据,那么就在manifest文件中声明android:exported=“false”,需要注意的是,在API Level 8及之前的版本,即使你显式声明android:exported=“false”,对应的ContentProvider还是能够被其他app访问到。
[Restricted Access]
未完待续
[不符合安全要求的代码例子]
MovatwiTouch,一个Twitter客户端,使用ContentProvider来管理Twitter的用户的key,secret和access token,然而这个ContentProvider是Public的,这使得安装在同一台手机上的其他应用可以获取到这些敏感信息。
下面的AndroidManifest.xml文件中Provider声明没有指定android:exported属性,因此,在API Level 16之前,这个ContentProvider是公开的。
<provider android:authorities="jp.co.vulnerable.accountprovider" android:name=".content.AccountProvider"></provider>
[概念验证]
下面的代码展示了Public的ContentProvider漏洞如何被利用
// check whether movatwi is installed.try { ApplicationInfo info = getPackageManager().getApplicationInfo(jp.co.vulnerable, 0);[cjl5]} catch (NameNotFoundException e) { Log.w(TAG, the app is not installed.); return;}// extract account data through content providerUri uri = Uri.parse(content://jp.co.vulnerable.accountprovider);Cursor cur = getContentResolver().query(uri, null, null, null, null);[cjl6]StringBuilder sb = new StringBuilder();if (cur != null) { int ri = 0; while (cur.moveToNext()) { ++ri; Log.i(TAG, String.format(row[%d]:, ri)); sb.setLength(0); for (int i = 0; i < cur.getColumnCount(); ++i) { String column = cur.getColumnName(i); String value = cur.getString(i); if (value != null) { value = value.replaceAll([], ); } Log.i(TAG, String.format( %s: %s, column, value)); } }} else { Log.i(TAG, Can't get the app information.);}
[解决方案]
在AndroidManifest.xml文件中将ContentProvider显式声明为
android:exported=“false”<provider android:authorities="jp.co.vulnerable.accountprovider" android:exported="false" android:name=".content.AccountProvider"></provider>
- android限制app的敏感ContentProvider的可访问性
- 【Android平台中的安全编程】の #01-限制app的敏感ContentProvider的可访问性
- Android 中ContentProvider的用法及用ContentProvider访问联系人
- Android 中ContentProvider的用法及用ContentProvider访问联系人
- C#高手必须掌握的4个要点:访问修饰符/可访问性级别/可访问域/可访问性级别的使用限制
- Restricting Accessor Accessibility (C# Programming Guide)-属性访问操作符可访问性的限制
- ContentProvider提供者的使用,一个app访问另一个app的数据库
- Android contentProvider 访问手机联系人的的两种方法
- android-为自己的APP写一个ContentProvider
- android 限制adb的访问目录
- Android四大组件之ContentProvider 全面解析,ContentResolver源码解析如何调用其它APP的ContentProvider
- ContentProvider的创建与访问
- contentProvider访问系统的通讯录
- 【读书笔记】Android访问远程数据的步骤(Messenger、AIDL、ContentProvider
- IBM 的可访问性
- Android 所有可访问的权限
- 有关android 的 contentprovider
- Android ContentProvider的使用
- 修复cocoapods
- Springmvc注解
- 文章标题
- OpenCV 学习 (Split 和 Merge)
- PHP Yii框架自定义动作(Action)用法详解
- android限制app的敏感ContentProvider的可访问性
- pthread条件变量condition(配合mutex锁使用),经典,有图
- =与==赋值与等于
- 一个比较有趣的 Android 动画效果
- MVC Kendo总结之-----> NumericTextBox
- Android静态代码检查-Lint
- C#中正则表达式的使用
- 二进制序列换反序列化
- 移动后端即服务带给我们什么?