Android中的Permission权限机制介绍

Android 通过在每台设备上实施了基于权限的安全策略来处理安全问题,采用权限来限制安装应用程序的能力。当某个权限与某个操作和资源对象绑定在一起,我们必须获得这个权限才能在对象上执行操作。由于Android设计本身就是为Android开发人员着想,所以一切权限许可权由用户决定而不是手机制造商和平台提供商,但这不得不带来了开发者滥用权限,黑客通过权限来进行恶意行为的风险,所以作为静态分析一个app是否为恶意软件的第一道关,获取并了解Android Permission权限意义是十分重大的。

权限策略

Android 框架提供一套默认的权限存储在android.anifest.permission 类中,同时也允许我们自己定义新的权限。我们在写应用程序时声明权限,程序安装时新权限被引入系统。权限授权在应用程序被安装时执行。当在设备上安装应用程序时,程序将请求完成任务必需的权限集合。被请求的权限列单显示在设备屏幕上以待用户审查只有用户同意授权后,程序才会被安装,该应用程序获得所有被请求的权限。所以,Android 系统实施的主要安全准则是应用程序只有得到权限许可后,才能执行可能会影响到系统其它部分的操作。

每个权限被定义成一个字符串,用来传达权限以执行某个特殊的操作。所有权限可以分为两个类别:一种是执行程序时被应用程序所请求的权限,一种是应用程序的组件之间通信时被其它组件请求的权限。开发者通过在AndroidManifest.xml文件中编写权限标签来定义以上两种类别的权限策略。

权限声明

应用程序可以用一个<permission>元素来声明权限, 用于限制访问特定组件或应用程序 在安装程序时, 这个已声明的权限被加入到系统中,具体可以参看:Android 自定义权限

权限请求

应用程序列出所有需要用来完成任务的权限,分别用 <use-permission>元素标识这些权限。在程序安装时被请求,列表显示在屏幕上用户要么同意安装,要么中止安装。同意安装则意味着授权所有被请求的权限。

获取权限

获取权限,是我们静态分析某个app的第一关,通过知道app所具有的权限,我们一般能够基本知道该app或许会有那些行为。

工具:目前已有多个工具可以静态检测Android app所具有的Permissions,这类工具有:aapt、apktool、androguard等等;

(0)

相关推荐

  • Android 权限(permission)整理

    在Android的设计中,资源的访问或者网络连接,要得到这些服务都需要声明其访问权限,否则将无法正常工作.在Android中这样的权限有很多种,这里将各类访问权限一一罗列出来,供大家使用时参考之用. 1.android.permission.WRITE_USER_DICTIONARY 允许应用程序向用户词典中写入新词 2.android.permission.WRITE_SYNC_SETTINGS 写入Google在线同步设置 3.android.permission.WRITE_SOCIAL_

  • 详解Android权限管理之RxPermission解决Android 6.0 适配问题

    前言: 上篇重点学习了Android 6.0的运行时权限,今天还是围绕着Android 6.0权限适配来总结学习,这里主要介绍一下我们公司解决Android 6.0权限适配的方案:RxJava+RxPermission.这里不再介绍Android 6.0运行时权限了,直接看下如何使用RxPermission. RxPermission: 用于适配Android 6.0新的权限模型的开源框架. 下载地址:点此下载 如何使用? 1.)在app module的build.gradle中添加如下配置 使

  • python读取Android permission文件

    python读取Android permission文件

    今天用python解析一个文本文件,格式如下: 复制代码 代码如下: [    {        "Key":"android.permission.ACCESS_CHECKIN_PROPERTIES",        "Title":"访问检入属性",        "Memo":"允许对检入服务上传的属性进行读/写访问.普通应用程序不能使用此权限.",        "Le

  • Android权限操作之uses-permission详解

    本文实例讲述了Android权限操作之uses-permission.分享给大家供大家参考,具体如下: 我们在安装Android软件的时候,系统会提示该软件所需要的权限,相对于其他系统,android的权限非常多.我们在开发软件的时候,也需要声明相应的权限,比如希望软件能发短信,需要声明软件调用短信的权限,否则软件运行的时候就会报错. Android的权限在AndroidManifest.xml文件里配置.AndroidManifest文件中有四个标签与permission有关,它们分别是 <p

  • Android权限管理之Permission权限机制及使用详解

    前言: 最近突然喜欢上一句诗:"宠辱不惊,看庭前花开花落:去留无意,望天空云卷云舒." 哈哈~,这个和今天的主题无关,最近只要不学习总觉得生活中少了点什么,所以想着围绕着最近面试过程中讨论比较多的一个知识点Android 6.0 权限适配问题来进行学习,不过我不想直接进入这个主题,所以选择先去了解一下Android的Permission权限机制及使用 Android权限机制: 权限是一种安全机制.Android权限主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组

  • Android中Permission权限机制的具体使用

    Android中Permission权限机制的具体使用

    由上篇Android Permission权限机制引子,我们知道Android 通过在每台设备上实施了基于权限的安全策略来处理安全问题,采用权限来限制安装应用程序的能力.本篇文章继续来探讨和Android权限相关的话题,主要集中在权限级别.ICC(inter- component communication)权限保护两个方面. 权限级别 protection level 每一个Permission权限都设有了权限级别(protection level),分别如下: 复制代码 代码如下: "nor

  • Android uses-permission权限列表中文注释版

    android同时也限定了系统资源的使用,像网络设备,SD卡,录音设备等.如果你的应用希望去使用任何系统资源,我们必须去申请Android的权限.这就是<uses-permission>元素的作用. 一个权限通常有以下格式,用一个名字为name 的字符串去指导我们希望使用的权限. 复制代码 代码如下: <uses-permission android:name="string"/> 例如:想要获得networking APIs的使用权限,我们指定如下的元素作为

  • Android.permission.MODIFY_PHONE_STATE权限问题解决办法

    Android.permission.MODIFY_PHONE_STATE权限限制已经改为系统权限  普通应用程序已经无法调用 所以网上找到的那些如何使用android.permission.MODIFY_PHONE_STATE的文章  均已失效 但仍有引用的办法 就是让你的程序程序系统程序 一种就是预制到ROM中 另一种就是使用系统签名 第一种我已经试验通过,第二种还有待验证. Also, just to save everyone some searching. I've been rese

  • Android中的Permission权限机制介绍

    Android 通过在每台设备上实施了基于权限的安全策略来处理安全问题,采用权限来限制安装应用程序的能力.当某个权限与某个操作和资源对象绑定在一起,我们必须获得这个权限才能在对象上执行操作.由于Android设计本身就是为Android开发人员着想,所以一切权限许可权由用户决定而不是手机制造商和平台提供商,但这不得不带来了开发者滥用权限,黑客通过权限来进行恶意行为的风险,所以作为静态分析一个app是否为恶意软件的第一道关,获取并了解Android Permission权限意义是十分重大的. 权限

  • 详细分析Android中onTouch事件传递机制

    详细分析Android中onTouch事件传递机制

    onTach介绍 ontach是Android系统中整个事件机制的基础.Android中的其他事件,如onClick.onLongClick等都是以onTach为基础的. onTach包括从手指按下到离开手机屏幕的整个过程,在微观形式上,具体表现为action_down.action_move和action_up等过程. onTach两种主要定义形式如下: 1.在自定义控件中,常见的有重写onTouchEvent(MotionEvent ev)方法.如在开发中经常可以看到重写的onTouchEv

  • Android中如何利用AIDL机制调用远程服务

    Android中如何利用AIDL机制调用远程服务

    在Android中,每个应用程序都有自己的进程,当需要在不同的进程之间传递对象时,该如何实现呢?显然, Java中是不支持跨进程内存共享的.因此要传递对象,需要把对象解析成操作系统能够理解的数据格式,以达到跨界对象访问的目的.在JavaEE中,采用RMI通过序列化传递对象.在Android中,则采用AIDL(Android Interface DefinitionLanguage:接口描述语言)方式实现. AIDL是一种接口定义语言,用于约束两个进程间的通讯规则,供编译器生成代码,实现Andro

  • 聊聊Android中的事件分发机制

    View事件分发机制的本质就是就是MotionEvent事件的分发过程,即MotionEvent产生后是怎样在View之间传递及处理的. 首先介绍一下什么是MotionEvent.所谓MotionEvent,即用户手指触碰手机屏幕时产生的一系列触摸事件.典型的触摸事件有: ACTION_DOWN:手指刚接触屏幕的一瞬间. ACTION_MOVE:手指在屏幕上滑动. ACTION_UP:手指离开屏幕的一瞬间. ACTION_CANCLE:当前事件序列终止. 一个事件序列一般都是以DOWN事件开始,

  • Android中Protobuf的基本使用介绍

    Android中Protobuf的基本使用介绍

    目录 前言 一.Proto文件示例 二.在Android中的使用 1. plugin配置 2..基本调用 总结 前言 Protobuf,类似于json和xml,是一种序列化结构数据机制,可以用于数据通讯等场景,相对于xml而言更小,相对于json而言解析更快,支持多语言. 一.Proto文件示例 Protobuf使用.proto文件来定义数据格式,所以我们首先新建立一个person.proto文件,并在文件中填下如下内容: //指定proto的版本为proto3,不写的话默认为proto2. s

  • Android中ACTION_CANCEL的触发机制与滑出子view的情况

    目录 ACTION_CANCEL的触发时机 1,父view拦截事件 2,ACTION_DOWN初始化操作 3,在子View处理事件的过程中被从父View中移除时 4,子View被设置了PFLAG_CANCEL_NEXT_UP_EVENT标记时 滑出子View区域会发生什么? 结论: 看完本文你将了解: ACTION_CANCEL的触发时机 滑出子View区域会发生什么?为什么不响应onClick()事件 首先看一下官方的解释: /** * Constant for {@link #getActi

  • Android 中LayoutInflater.inflate()方法的介绍

    Android 中LayoutInflater.inflate()方法的介绍 最近一直想弄明白LayoutInflater对象的inflate方法的用法,今天做了实例. <LinearLayout android:id="@+id/ll_item_Group" android:layout_width="match_parent" android:layout_height="200dp" android:background="

  • Android 中的危险权限详细整理

    Android 中的危险权限详细整理 前言: Android 中有上百种权限,现在将所有的权限归为两类: 一类是普通权限 一类的危险权限 普通权限是指那些不会威胁到用户安全和隐私的权限,这部分权限系统会自动帮我们进行授权不需要手动操作.危险权限则表示那些可能会触及到用户安全隐私或者对设备安全造成影响的权限,如获取手机联系人信息等权限,申请者部分权限必须有用户收到点击授权才可以,否则程序无法使用相应的功能. 下面列出 Android 中所有的危险权限,一共是9组24个权限. 权限组名 权限名称 C

随机推荐