Android静态安全检测 -> 自定义权限的保护级别

最新推荐文章于 2025-06-30 09:28:55 发布
原创 最新推荐文章于 2025-06-30 09:28:55 发布 · 4.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android安全 #permission #自定义权限 #protectionLevel

本文详细介绍了Android中自定义权限的使用方法,包括<uses-permission>和<permission>的区别、如何设置权限保护级别及不同级别的含义。此外,还提供了具体的示例帮助理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自定义权限的保护级别 - protectionLevel属性

一、Manifest文件中权限相关的知识


1. <uses-permission>标签


【1】语法定义


【2】属性

 android:name    可以是系统的权限名称,也可以是其他APP通过<permission>标签声明的权限名称(用于两个应用之间的交互)

 android:maxSdkVersion   标注该权限所支持的最大API版本号


2. <permission>标签


【1】语法定义


【2】属性

  android:name  自定义的权限名称

  android:label   对权限的简短描述

  android:icon   用来标识权限的图标

  android:description   对权限的更加详细的描述

  android:permissionGroup   权限所属权限组的名称

  android:protectionLevel     权限的保护等级

     - normal

       属性的默认值,代表低风险权限,只要申请了就可以使用(在AndroidManifest.xml中添加<uses-permission>标签),安装时不需要用户确认

     - dangerous

       高风险权限,安装时需要用户的确认才可使用

     - signature

       只有当申请权限的应用程序的数字签名与声明此权限的应用程序的数字签名相同时(如果是申请系统权限,则需要与系统签名相同),才能将权限授给它

     - signatureOrSystem

        签名相同,或者申请权限的应用为系统应用(在system image中),与signature类似,只是增加了rom中自带的app的声明 ,尽量不要使用该选项,因为signature已经适合绝大部分的情况


【3】参考链接


http://blog.csdn.net/self_study/article/details/50074781


3. <uses-permission><permission>的区别


【1】<uses-permission>

  系统权限或者其他APP通过<permission>声明的权限

  调用别人东西的时候,自己需要声明的权限


【2】<permission>

  自定义权限

  别人调用这个程序时,需要用<uses-permission>来声明


【3】示例

  应用A的Manifest文件中声明权限,并注册Broadcast Receiver



应用B发送消息给A,需要在B的Manifest文件中声明使用相应的权限,A才能收到


【4】参考链接


http://blog.csdn.net/lilu_leo/article/details/6940941


http://www.cnblogs.com/lwbqqyumidi/p/3793440.html


4. <permission-tree>标签


【1】语法定义


5. <permission-group>标签


【1】语法定义


6. 参考链接


https://developer.android.com/guide/topics/manifest/permission-element.html


http://blog.csdn.net/self_study/article/details/50074781

二、触发条件


1. 定位AndroidManifest.xml文件中的自定义权限


【1】对应的特征:<permission


2. protectionLevel属性设置为normal


【1】显示设置android:protectionLevel="normal"


【2】默认情况下,属性的值也为normal

三、漏洞原理


【1】自定义权限的保护等级(android:protectionLevel属性)设置为normal,或没有显示设置(默认情况也为normal),可能会导致敏感信息泄露

四、修复建议


【1】建议将自定义权限的保护级别设置为signature或者signatureOrSystem

关于Android权限声明中的android:protectionLevel属性的说明
sinat_38992528的博客
03-20 2101
关于Android权限声明中的。
黑马程序员ssm总结[大全版本,有对应pdf+源码](spring->springmvc-->springboot-->maven高级->cloud微服务)
m0_67402125的博客
07-30 1011
既可以解决多个应用间配置共享的问题,
android:protectionLevel
studyboyjlu4的专栏
02-07 3309
定义自己的permission的时候要写明android:protectionLevel,这个属性有四个值。分别是: normal: 这个用于比较低风险的权限,如果一个权限android:protectionLevel设置为normal,当某个app申请这个权限时system会自动授予app权限,而不用询问用户。 dangerous: 用于高风险的权限,例如可能访问私人数据(例如短信,联
掌握Android自定义权限设计与应用
最新发布
weixin_42573757的博客
06-30 582
Android 开发中,权限管理是保证应用安全保护用户隐私和数据的关键机制。本章将介绍 Android 权限的基础概念和分类,帮助开发者建立起对 Android 安全模型的基本认识。自定义权限Android应用安全性和功能独立性的关键。本章节将详细介绍如何在Android系统中创建自定义权限,包括编写权限声明文件、设置权限保护级别以及通过Android Studio创建自定义权限的详细步骤。声明自定义权限通常在应用的文件中进行。
Android权限级别protectionLevel
07-19 1万+
        通常情况下,对于需要付费的操作以及可能涉及到用户隐私的操作,我们都会格外敏感。       出于上述考虑以及更多的安全考虑,Android中对一些访问进行了限制,如网络访问(需付费)以及获取联系人(涉及隐私)等。应用程序如果想要进行此类访问,则需要申请相应权限Android对这些权限进行了四类分级,不同级别权限对应不同的认证方式。        
Android permissionandroid:protectionLevel
限量发行的专栏
03-05 3747
Android对这些权限进行了四类分级,不同级别权限对应不同的认证方式。      normal:低风险权限,只要申请了就可以使用(在AndroidManifest.xml中添加标                            签),安 装时不需要用户确认; dangerous:高风险权限,安装时需要用户的确认才可使用; signature: 只有当申请权限
android自定义permission android:protectionLevel介绍
fenglolo的博客
10-19 1904
Android protectionLevel分4个级别: normal dangerous signature signatureOrSystem 如果定义的是normal或者dangerous:我们自己的应用需要去访问其对应受保护的资源时只需要在androidManifest.xml中添加相同的权限uses-permission 如果是signature:不仅需要添加相同的权限, 必须同时具有相同的签名。 如果是signatureOrSystem(这种权限的应用第三方的应用无法单独访问):
我的Manifest.permission只有DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION一个选项,我明明已经配置好了<?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools"> <!-- 蓝牙权限(兼容旧版和 Android 12+) --> <uses-permission android:name="android.permission.BLUETOOTH" android:maxSdkVersion="30" /> <!-- Android 11 及以下需要 --> <uses-permission android:name="android.permission.BLUETOOTH_ADMIN" android:maxSdkVersion="30" /> <!-- Android 11 及以下需要 --> <uses-permission android:name="android.permission.BLUETOOTH_SCAN" /> <!-- Android 12+ 需要 --> <uses-permission android:name="android.permission.BLUETOOTH_CONNECT" /> <!-- Android 12+ 需要 --> <uses-permission android:name="android.permission.BLUETOOTH_ADVERTISE" /> <!-- 蓝牙广播需要 -->
03-13
最后,建议用户参考官方文档和引用中的链接,比如引用[2]提到的自定义权限的使用,以及引用[4]关于receiver的exported属性的说明,来确保配置正确。</think>针对Android蓝牙权限配置后仍显示$DYNAMIC\_RECEIVER\_NOT...
android-ndk(android-ndk-r25b-darwin.zip)
10-20
11. **安全性和权限**:使用NDK开发时,需要注意安全问题,如缓冲区溢出、内存破坏等。同时,原生代码也可能需要特定的Android权限才能正常工作。 12. **JNI函数注册**:在Java代码中使用原生方法前,需要在对应的C...
Android应用安全检测项目
苛学加记事
07-08 7471
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限
Android APP安全评估工具-Drozer.zip
06-12
Android APP安全评估工具——Drozer详解》 在当今移动互联网时代,Android应用程序的安全性愈发受到关注。...通过深入理解并熟练运用Drozer,我们可以更好地保护Android生态系统,为用户提供更安全的软件环境。
Android 权限声明中的android:protectionLevel属性的说明
qq_27494201的博客
10-17 343
Android 权限声明中的android:protectionLevel属性的说明
android自定义permission android:protectionLevel说明
lidamign的博客
08-25 774
Android protectionLevel分4个级别:normal、dangerous、signature、signatureOrSystem; normal:这是最低风险的权限,如果应用声明了此权限,也不会提示安装应用的用户授权(例如,如果声明了定位权限,则应用到定位功能时,会明确提示用户,是否授予定位权限,但是protectionLevel为normal的不会明确提示,直接默认授予),系统直接默认该应用有此权限; dangerous:这种级别权限风险更高,拥有此权限可能会访问用户私人数据或者
android 权限级别,Android权限ProtectionLevel
weixin_32395459的博客
06-02 531
我们如何找到特定权限所需的Android防护级别.让我们说我们有android.permission.SET_ACTIVITY_WATCHER(docs)它属于什么保护水平?(docs)>定期>危险>系统或签名>签名解决方法:你可以在这里找到一些权限:另一个解决方案是以下代码示例:getPackageManager().getPermissionInfo(name, 0)...
android -————permissionandroid:protectionLevel
成长的味道
12-03 1908
首先protectionLevel分为四级:  "normal"  The default value. A lower-risk permission that gives requesting applications access to isolated application-level features, with minimal risk to other applications
Android中的权限管理(基于Permission ProtectionLevel
热门推荐
jltxgcy的专栏
09-08 2万+
1、什么是protectionlevel呢?      我们经常在AndroidManifest中使用权限,如果我们想让应用程序可以发短信,那么应该这样写:       那么这个权限的定义是在哪里定义的呢?如下:      frameworks/base/core/res/AndroidManifest.xml<permission android:name="android.permission
Android protectionLevel
weixin_30768661的博客
02-22 315
Android protectionLevel分4个级别: "normal" "dangerous" "signature" "signatureOrSystem" 如果定义的是前面两种normal或者dangerous, 我们自己的应用需要去访问其对应受保护的资源时只需要在androidManifest.xml中添加相同的uses-permission就行了。 如果是signatu...
自定义权限保护级别protectionLevel
weixin_45612598的博客
01-05 600
protectionLevel的使用
Android安全权限
a_account的博客
03-13 751
情况二:PermissionA的保护级别是signature或者signatureOrSystem App B先安装,App A后安装,**如果App A和App B是相同的签名,那么App B可以获取到PermissionA的权限。即,对于相同签名的app来说,不论安装先后,只要是声明了权限,请求该权限的app就会获得该权限Android标准的权限有着事先定义好的、固定不变的。附加细粒度的安全功能是通过一个“许可”的机制,限定特定的进程能够执行指定的操作以及给予对每一个资源点对点的访问的URI许可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值