重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
0x00 关于AndroidManifest.xml
网站建设哪家好,找创新互联!专注于网页设计、网站建设、微信开发、成都微信小程序、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了聊城免费建站欢迎大家使用!
AndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,Manifest文件提供有关应用程序到Android系统的基本信息,系统必须具有该信息才能运行任何应用程序的代码。换句话说APP是跑在Android系统上,既然要跑在其上,就必须提供信息给Android System,这些信息就存在AndroidManifest中。AndroidManifest.xml
存放在 app/src/main/ 目录下。在反编译APK文件后,其文件是以乱码格式存在,需要进行转换才能正常查看。
AndroidManifest.xml的主要功能
<?xml version="1.0" encoding="utf-8" standalone="no"?>
0x01 AndroidManifest.xml风险点分析
1、allowBackup设置风险
Android API Level 8 (Android 2.1)及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中 AndroidManifest.xml 文件中的 allowBackup 属性值,其属性值默认是 true。当allowBackup的属性值没有显示设置为false时,攻击者可通过 adb backup 和 adb restore 来进行对应用数据的备份和恢复,从而可能获取明文存储的用户的敏感信息。
android:allowBackup=["true" | "false"]
$ adb backup -nosystem -noshared -apk -f com.example.demo $ adb restore com.example.demo
2、debuggable设置风险
该属性用于指定应用程序是否能够被调试,即使是以用户模式运行在设备上的时候,如果设置为true,则可以被调试;但是现在Android版本均默认debuggable的属性值为false,所以建议使用默认配置。
android:debuggable=["true" | "false"]
3、组件导出风险
四大组件
可导出的组件能被第三方APP任意调用,导致敏感信息泄露,并可能被利用于绕过认证、恶意代码注入、sql注入、拒绝服务等攻击;
Activity中exported的默认值
而intent filter标签代表是主Activity,而每个APP都会有一个主Activity,所以当应用的Activity不必要导出时,或者配置了intent filter标签,建议显示设置android:exported="false"。如果组件必须要导出给其他应用使用,建议对组件进行权限控制。
Broadcast Receive和Service的默认值都跟Activity的一样。
Content Provider中exported的默认值
当minSdkVersion或者targetSdkVersion小于16时,默认为true 大于17时,默认为false
4、自定义权限风险
在Android系统的安全模型中,应用程序在默认的情况下不可以执行任何对其他应用程序、系统或用户带来负面影响的操作。如果应用需要执行某些操作,就需要声明使用这个操作对应的权限,也就是在AndroidManifest.xml文件中添加
android:protectionLevel=["normal" | "dangerous" | "signature" | "signatureOrSystem"]
0x02 AndroidManifest.xml结构
<?xmlversion="1.0"encoding="utf-8"?>
0x03 AndroidManifest.xml分节介绍
1、manifest
2、application
3、activity
4、intent-filter
5、meta-data
6、activity-alias
7、service
8、receiver
9、provider
10、uses-library 11、supports-screens
12、uses-configuration和uses-feature
13、uses-sdk
14、instrumentation
15、
最常用的当属
当我们需要获取某个权限的时候就必须在我们的manifest文件中声明,此
与
通常情况下我们不需要为自己的应用程序声明某个权限,除非你提供了供其他应用程序调用的代码或者数据。这个时候你才需要使用
那么在activity中就可以声明该自定义权限了,如:
android:permission="com.teleca.project.MY_SECURITY">
当然自己声明的permission也不能随意的使用,还是需要使用
来声明你需要该权限
就是声明一个标签,该标签代表了一组permissions,而
是为一组permissions声明了一个namespace。这两个标签可以看之前的系列文章。
到此这篇关于AndroidManifest.xml中含盖的安全问题的文章就介绍到这了,更多相关AndroidManifest.xml中含盖的安全问题内容请搜索创新互联以前的文章或继续浏览下面的相关文章希望大家以后多多支持创新互联!