Android开发中关于使用权限的常见错误( 二 ) _Android开发

阅读器应用程序的清单：
<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.mycoolreader">        <uses-permission android:name="com.mycoolcam.USE_COOL_CAMERA" />            <application android:label="My Cool Reader">                  <provider android:name=".AllUserNotesContentProvider" android:authorities="com.mycoolreader.notes_provider" android:exported="true" android:permission="com.mycoolcam.USE_COOL_CAMERA" />                          </application></manifest>乍一看，似乎一切都很好且安全，因为只有生态系统中的应用程序才能访问存储在 AllUserNotesContentProvider中的敏感信息。
但是，如果受害者的设备只安装了阅读器应用程序会发生什么？在这种情况下，Android系统将不知道com.mycoolcam.USE_COOL_CAMERA权限声明的任何内容，因此默认情况下会将权限级别标记为normal 。
为防止出现这种情况，请确保在每个应用程序中也分别声明来自多个应用程序生态系统的每个权限。

权限名称中的错别字
开发人员在权限名称中打错字是非常常见的：
<permission android:name="com.mycoolcam.USE_COOL_CAMERA" android:protectionLevel="signature" /><activity android:name=".CoolCamActivity" android:exported="true" android:permission="com.mycoolcam.USE_COOL_CAM">         <intent-filter>                  <action android:name="com.mycoolcam.LAUNCH_COOL_CAM" />                  <category android:name="android.intent.category.DEFAULT" />         </intent-filter></activity>在以上示例中，com.mycoolcam.USE_COOL_CAMERA的权限的保护等级为signature，而com.mycoolcam.USE_COOL_CAM的将被设置为normal 。这允许任意应用程序使用com.mycoolcam.USE_COOL_CAM进行使用权限声明，从而授予对CoolCamActivity活动的访问权。

组件声明中的错别字
<permission android:name="com.mycoolcam.USE_COOL_CAMERA" android:protectionLevel="signature" /><activity android:name=".CoolCamActivity" android:exported="true" android:uses-permission="com.mycoolcam.USE_COOL_CAMERA">           <intent-filter>                      <action android:name="com.mycoolcam.LAUNCH_COOL_CAM" />                      <category android:name="android.intent.category.DEFAULT" />           </intent-filter></activity>在以上示例中，它没有使用android:permission属性（设置组件的访问级别），而是使用android:uses-permission 。这将允许任何第三方应用程序访问它，因为这意味着该组件没有保护级别。

权限保护不足
某些应用程序并没有完全保护他们使用的权限，这为第三方应用程序利用易受攻击的应用程序并获得权限留下了空间。
让我们通过一个简单的例子更好地理解这一点。
AndroidManifest.xml文件：
<uses-permission android:name="android.permission.READ_CONTACTS" /><provider android:name=".ContactsProvider" android:authorities="com.exampleapp.contacts" android:exported="true" />ContactsProvider.JAVA文件：
public Cursor query(Uri uri, String[] projection, String selection, String[] selectionArgs, String sortOrder) {    return getContext().getContentResolver().query(ContactsContract.CommonDataKinds.Phone.CONTENT_URI,                     projection,                     selection,                     selectionArgs,                     sortOrder); }

Android开发中关于使用权限的常见错误( 二 )

推荐阅读

食用油什么牌子好(食用油哪个牌子最安全)

「华为申请中止将孟晚舟引渡到美国」孟晚舟案再起波澜华为申请中止将孟晚舟引渡到美国

波音|MU5735上132人全部遇难波音、东航：向逝者致以最深切哀悼

央视|日本防卫大臣：要求驻日美军进行核酸检测

微信换了银行卡没法用付款码微信换了银行卡没法用付款码怎么办

美洲出土甲骨文印地安人是殷商后人

补肾壮阳药材泡水配方

张先生|黑龙江酸汤子中毒事件唯一幸存者：99%的肝脏已损坏

谢霆锋留港分居王菲，自曝暂不返京陪父亲，87岁谢贤带子聚会散心

法国一农场遭遇50度高温天，250只鸡活活被热死

『微软』苹果前高管任职微软，将从事混合现实硬件和AI技术等工作

环球时报新媒体■将很快转移到陆地隔离，美国“仁慈”号一名船员感染新冠肺炎

材料|12亿元！雅克科技加大布局半导体材料领域

隋唐|竟敢命令皇帝的大宦官，嚣张要越级提拔，是朝廷的“大老虎”

小七聊书画|《大军帖》写出皇帝的霸气！水平堪比书法家，朱元璋书法真迹欣赏

么么八卦@在感情中总是感觉不安，喜欢草木皆兵，相处起来会比较累的生肖

【名字】中国三个容易被搞混的火车站，用过同一个站名，都与沈阳有关

有房的注意了，这2个证件要抓紧办，明年可能就办不了了！

股份|青农商行：巴龙集团所持566万股解除质押后再质押

北京青年报|这些场合要戴好口罩！