Android开发中的安全-阿里云开发者社区

开发者社区> code_xzh> 正文

Android开发中的安全

简介: 根据Android四大框架来解说安全机制   代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为proguard,最新版本为4.7; proguard还可用来压缩、优化java字节码,删除无用的类、字段、方法、属性、注释等。 配置方法为在Android.mk中设置LOCAL_PROGUARD_FLAG_F
+关注继续查看

根据Android四大框架来解说安全机制

  •   代码安全

java不同于C/C++java是解释性语言,存在代码被反编译的隐患;
默认混淆器为proguard,最新版本为4.7; proguard还可用来压缩、优化java字节码,删除无用的类、字段、方法、属性、注释等。
配置方法为在Android.mk中设置LOCAL_PROGUARD_FLAG_FILES := proguard.flags
packages/apps/Launcher2/proguard.flags
//特定方法
-keep class com.android.launcher2.Launcher {
  public void previousScreen(android.view.View);
  public void nextScreen(android.view.View);
  public void launchHotSeat(android.view.View);
}
//特定类,“$”表示后面的类是前面的类的内部类
-keep class com.android.launcher2.AllApps3D$Defines {
  *;
}
-keep class com.android.launcher2.ClippedImageView {
  *;
}
  • 接入权限


权限主要用来对应用的操作增加限制,防止恶意应用进行非法操作给用户造成敏感数据泄漏和设备被非法控制,防止恶意收费等;
Android的接入权限
Normal权限
Dangerous权限
signatureOrSystem权限
Signature权限
框架层权限定义位置
frameworks/base/core/res/ AndroidManifest.xml权限可用于整个应用、ActivityService等。
创建接入权限和权限组
<permission android:name=android.permission.GET_ACCOUNTS”   
android:permissionGroup=android.permission-group.ACCOUNTS
android:protectionLevel="normal
android:description=@string/permdesc_getAccounts
android:label="@string/permlab_getAccounts" />

<permission-group android:name=android.permission-group.STORAGE
android:label="@string/permgrouplab_storage
android:description="@string/permgroupdesc_storage" />
  • 应用权限的设置


共享用户ID即共用一个进程
Android源代码树携带的系统证书包括“media”、“platform”、“shared”、“testkey”等,其中“media”证书用于多媒体、下载场景中;“platform”证书用于系统场景中;“shared”证书用于启动器、电话簿场景中;“testkey”证书用于开发场景中,这些证书位于build/target/product/security目录下;
目前支持的“sharedUserId”属性包括“com.android.cts.shareduid”、“com.android.cts.process.uidpid_test”、“android.uid.system”、“com.android.uid.test”、“android.uid.calendar” 、“android.media”、“com.android.framework.externalsharedpermstestapp”、“android.uid.shared”、“android.uid.phone”等。常用的包括“android.uid.system”、“android.media”、“android.uid.shared”等。
设置应用权限
<uses-permission android:name="android.permission.BLUETOOTH" />
<uses-permission android:name="android.permission.BLUETOOTH_ADMIN" />
权限验证
Android提供了多个方法可用于验证调用方是否具有相应的权限。
如果调用方拥有相应的权限,则权限验证的返回值为PackageManager. PERMISSION_GRANTED否则返回PackageManager.PERMISSION_DENIED
示例
private int enforceAccessPermission() {
int ret =
mContext.checkCallingOrSelfPermission("android.permission.BIND_WALLPAPER ");
return ret;
}
  • 数字证书


Android的数字证书是免费的,分调试模式和发布模式两种;
通过命令行和Eclipse可以生成发布模式的数字证书;
在命令行方式下利用Keytool来生成数字证书,并利用Jarsigner来为APK进行数字签名;
使用ADT Export Wizard进行签名;
只有同一包名且采用同一数字证书的应用才被认为是同一个应用;
数字证书的最大用途是应用升级和设置应用间通信的权限;
Keytool生成数字证书
keytool -genkey -v -keystore android.keystore -alias miaozl-keyalg RSA -validity 20000
keystore android.keystore”表示生成的证书为“android.keystore”,可以加上路径(默认在用户主目录下);“alias miaozl”表示证书的别名是“miaozl”;“keyalg RSA”表示采用的RSA算法;“validity 20000”表示证书的有效期是20000天。另外通过keypass可以设置数字证书私钥的密码,通过keysize可以设置算法的位长,默认为1024比特,推荐2048比特及更长,通过storepass可以设置证书的密码。
Jarsigner进行数字签名
jarsigner -verbose -keystore android.keystore demo.apk  证书别名
接下来jarsigner会提示输入密钥库的口令和证书别名的口令,全部输入后,即可完成签名
查看数字证书签名
#jarsigner -verify -verbose -certs demo.apk
  • 网络安全


加密算法(敏感数据)
DES(对称)、3DES(对称)、RSA(非对称)、MD5RC2/RC4(对称)、IDEAAESBLOWFISH
Web服务(HTTP层)
三种手段WS-SecuritySSL、数字签名。目前ksoap不支持WS-Security
TCP
SSLTSL
数据链路层
WAPI
  • 数据库安全


Android采用的SQLite目前采用明文存储数据;安全涉及加密、读写、搜索等。
加密方法
加密算法(实现方法参考网上)
权限设置
权限设置
android:permission
android:readPermission
android:writePermission
读写权限示例
<provider
            android:name=".provider.AttachmentProvider"
            android:authorities="com.android.email.attachmentprovider"
            android:multiprocess="true"
            android:grantUriPermissions="true“  
android:readPermission="com.android.email.permission.READ_ATTACHMENT"/>
  • 数据库安全--搜索


<provider android:name="SuggestionsProvider"
            android:readPermission="android.permission.READ_SMS"
            android:authorities="com.android.mms.SuggestionsProvider" >
            <path-permission
                    android:pathPrefix="/search_suggest_query"
                    android:readPermission="android.permission.GLOBAL_SEARCH" />
            <path-permission
                    android:pathPrefix="/search_suggest_shortcut"
                    android:readPermission="android.permission.GLOBAL_SEARCH" />
        </provider>
  • 虚拟机


通常情况下,每个应用均拥有一个虚拟机。
通常情况下,应用间无法相互访问私有数据。
访问数据的方法为:
文件方式
数据库权限开放
配置文件开放
Intent通信
  • 文件访问控制


Android在权限管理上应用了LinuxACLAccess Control List)权限机制,而非早期Unix采用的UGO权限机制。
分区层面
在系统运行时,最外层安全保护是由Linux系统提供的,其中system.img所在的分区是只读的,不允许用户写入,而data.img所在的分区是可读写的,用于存放用户数据。
分区的用户权限在init.rc中定义。
单独文件
单独文件访问权限控制分群组、用户、权限。
权限分可读、可写、可执行。
命令:chown\chgrp\chmod

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
教妹学Java(十七):do-while 循环
教妹学Java(十七):do-while 循环
4 0
RecSys提前看 | 深度学习在推荐系统中的最新应用
作为推荐系统的顶会,RecSys 一如既往受到了业界的广泛关注。与其他机器学习会议相比,RecSys 一向重视解决实际的问题,即结合在实际应用场景中推荐系统性能提升、效果提高等问题提出设计策略和算法解决方案等。随着深度学习研究的进一步深入,深度学习在推荐系统中的应用依然是研究热点之一,本次会议中图神经网络(Graph Neural Network,GNN)、经典深度学习模型都有所应用及改进。
5 0
学妹抱怨Spring入门太难了,我用一篇文章彻底征服了她(2)
学妹抱怨Spring入门太难了,我用一篇文章彻底征服了她
5 0
教妹学Java(十六):while 循环详解
教妹学Java(十六):while 循环详解
5 0
mysql操作过程中的一些注意点
mysql操作过程中的一些注意点
5 0
Java中对于字节流的读取方式
Java中对于字节流的读取方式
6 0
DARTS+:DARTS 搜索为何需要早停?
近日,华为诺亚 方舟实验室的作者们提出一种可微分的神经网络架构搜索算法 DARTS+,将早停机制(early stopping)引入到原始的 DARTS[1] 算法中,不仅减小了 DARTS 搜索的时间,而且极大地提升了 DARTS 的性能。相关论文《DARTS+: Improved Differentiable Architecture Search with Early Stopping》已经公开(相关代码稍后也会开源)。
5 0
意念加AI算法「复原」每个手指,智能义肢登上Nature子刊封面
使用「意念」控制机械,让肢体缺失的残疾人过上正常人的生活,这听起来像是出现在电影中的场景。最近,瑞士洛桑联邦理工学院(EPFL)展示的新技术却让科幻变成了现实,他们的研究还登上了最新一期自然杂志子刊《Nature Machine Intelligence》的封面。
6 0
关于Java线程池的一点理解
关于Java线程池的一点理解
4 0
+关注
code_xzh
对前端移动客户端技术比较擅长。著有《React Native移动开发实战》和《Kotlin入门与实战》和《Weex跨平台实战》,《React Native移动开发进阶》即将出版,正在努力完成《Flutter跨平台开发实战》
717
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载