你所不知道的权限-Custom permission issue

最新推荐文章于 2021-05-25 14:08:53 发布
原创 最新推荐文章于 2021-05-25 14:08:53 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在GMS认证测试中遇到的权限问题,涉及代码安全,具体表现为某些权限可能导致恶意第三方应用执行组件逻辑。问题起源于Lolipop系统后不允许重复定义自定义权限。解决方案是利用Android Framework来避免此类问题。

问题来源:手机厂商在进行GMS认证测试时测试出的问题,比如如下代码会产生权限安全问题

<receiver
    android:name=".wxapi.WXRegister"
    android:permission="com.tencent.mm.plugin.permission.SEND" >
    <intent-filter>
        <action android:name="com.tencent.mm.plugin.openapi.Intent.ACTION_REFRESH_WXAPP" />
    </intent-filter>
</receiver>

com.sohu.newsclient.wxapi.WXRegister (com.tencent.mm.plugin.permission.SEND)

问题分析:

      1.任何具有com.tencent.mm.plugin.permission.SEND权限的代码可能会执行你组件(如BroadCastReceiver)中的逻辑。

      2.如果第三方危害性的应用首先安装已经注册了这com.tencent.mm.plugin.permission.SEND权限


,并且设置android:protectionLevel="signature",那咱们的应用就会应为签名不同而无法安装,如 
<uses-permission android:name="com.master.me.CUSTOM_PERMISSION_TEST"    android:protectionLevel="signature"/>

问题根源:At the beginning Lolipop OS, Basically, Duplicated custom permission definition is not allowed.  (If A App defines Permission P and is installed, B App which defines Permission P can not be installed if A app and B App's signature is different.)


解决方法:

1.利用Android FrameWork来规避此问题

manifest>
...
    <activity
        android:name=".InternalActivity"
        android:permission="com.hiqes.sample.frm_enf_perm"
        android:exported="false" >

        <intent-filter>
            <action android:name="com.hiqes.sample.INTERNAL_ACTION1" />
            <category android:name="android.category.DEFAULT" />
        </intent-filter>
        <intent-filter>
            <action android:name="com.hiqes.sample.INTERNAL_ACTION2" />
            <category android:name="android.category.DEFAULT" />
        </intent-filter>
        ...
    </activity>
....
</manifest>

EasyPermission:一句代码解决动态权限的申请和回执(带权限提示信息)
yeluofengchui的博客
03-28 2376
效果展示 以上是演示请求一个相机权限的过程: 首次申请(顶部提醒)-拒绝-再次申请(顶部提醒)-再次拒绝(并勾选禁止再次询问)-再次申请(中部弹窗引导)-在设置页授权-返回-再次申请(中部弹窗引导)-在设置页将相机权限设为允许-返回app 在此过程中,任意一次拒绝和允许,都可以及时的拿到允许/拒绝的结果,进而在页面展示授权状态或者执行自己授权后的逻辑。以上的这些所有逻辑,只需要一句代码就能搞定,你相信吗? 是的,EasyPermission她来了,在项目中集成之后,安卓权限的检查、申请、提示、
本示例为 使用 自定义权限客户端程序, 需要与ch10_CustomPermission 工程配合使用
12-07
本示例为 使用 自定义权限客户端程序, 需要与ch10_CustomPermission 工程配合使用
django custom-permissions
weixin_30530339的博客
07-22 140
https://docs.djangoproject.com/en/2.2/topics/auth/customizing/#custom-permissions 转载于:https://www.cnblogs.com/yangjintao/p/11227750.html
微信Android SDK提示com.tencent.mm.plugin.openapi.Intent.ACTION_REFRESH_WXAPP
天。朝程序猿的专栏
08-29 1万+
这个问题还真的挺坑的,微信sdk给的Demo中 manifest.xml没有下面红色的内容造成的,添加后即可解决此问题 <activity android:name=".wxapi.WXPayEntryActivity" android:exported="true" android:launchM
Android_APP 微信支付接口开发
Han_Wen2015的专栏
09-18 5624
1、首先说一下我们在开发微信支付接口的时候遇到最多和最疑惑的问题,那就是明明 appid、商户号、API密钥 都对照了好几遍确实是和自己的一样,并且也没有在Log日志中出现签名错误等信息,却始终调起微信支付,或是直接回到支付结果后的界面并提示 “微信支付结果:null;code=-1”。这就是微信支付中的一个深坑之处(为什么说这是深坑之处呢?会在下面特别说明)。 2、下面就教大家如何跳出这个深坑
Android 自定义权限 permission
UNETMAN
08-09 1322
Android支持为应用程序自定义权限。如果希望自己的程序组件(如Activity,BroacastReceiver)等被任意用户随意启动执行。要使用自定义权限,首先在AndroidManifest.xml文件中声明它们,定义了权限之后,可以将它作为组件定义的一部分进行引用。
本示例为 实现使用 自定义权限, 需要与ch10_ClientofCustomPermission 工程配合使用
12-07
本示例为 实现使用 自定义权限, 需要与ch10_ClientofCustomPermission 工程配合使用
The device has no langid (permission issue, no string descriptors supported or device error)
08-04
在处理 USB 设备时,如果出现类似 “device has no langid permission issue no string descriptors supported or device error” 的错误信息,通常意味着设备在获取字符串描述符时遇到了问题。根据引用内容,可以...
Child-issue字段隐藏
06-26
| 特定用户看到子任务 | 权限缺失 | 检查权限方案中的"查看子任务" | | 字段显示为技术ID(如`Jpo-child-issues...`) | 语言包缺失 | 检查Atlassian Marketplace语言包更新 | --- ### 相关问题 1. 如何在 Jira ...
Future instances of this issue will be treated as an alert on 2025-10-14. AFAP/BTS has detected that the following framework files (framework.jar and/or services.jar) may have introduced violative customizations to the framework involving custom APIs. The following duplicated platform API(s) Lcom/android/server/engineer/OppoEngineerService$BinderService;,getDeviceLockICCID()Ljava/lang/String, Lcom/android/server/engineer/OppoEngineerService;,checkPermission()Z returns Device Lock ICC ID of a device. These custom API(s) were either not protected by any permissions, or protected by permissions other than android.permission.READ_PRIVILEGED_PHONE_STATE (including other AOSP permission or custom permission). These behaviors violate GMS policy 12.4 Custom system permissions, UIDs, and APIs which states: "Platform APIs gated by system permissions MUST NOT be duplicated by custom APIs and there MUST NOT be a mechanism to proxy or bypass the protection level of platform permissions." and "User data access that's protected by AOSP permissions MUST ONLY be protected by AOSP permissions and there MUST NOT be alternate means (for example, custom system permissions, APIs, UIDs) to get the same data"
最新发布
08-08
<uses-permission android:name="android.permission.READ_PHONE_STATE" /> ``` ### 小结 GMS Policy 12.4 的核心目标是确保设备厂商会通过自定义 API 破坏 Android 的安全模型和用户隐私保护机制。因此,厂商应...
Duplicate framework API(s) and permission(s) affecting BinderService;,getDeviceLockICCID() Future instances of this issue will be treated as an alert on 2025-10-14. AFAP/BTS has detected that the following framework files (framework.jar and/or services.jar) may have introduced violative customizations to the framework involving custom APIs. The following duplicated platform API(s) Lcom/android/server/engineer/OppoEngineerService$BinderService;,getDeviceLockICCID()Ljava/lang/String, Lcom/android/server/engineer/OppoEngineerService;,checkPermission()Z returns Device Lock ICC ID of a device. These custom API(s) were either not protected by any permissions, or protected by permissions other than android.permission.READ_PRIVILEGED_PHONE_STATE (including other AOSP permission or custom permission). These behaviors violate GMS policy 12.4 Custom system permissions, UIDs, and APIs which states: "Platform APIs gated by system permissions MUST NOT be duplicated by custom APIs and there MUST NOT be a mechanism to proxy or bypass the protection level of platform permissions." and "User data access that's protected by AOSP permissions MUST ONLY be protected by AOSP permissions and there MUST NOT be alternate means (for example, custom system permissions, APIs, UIDs) to get the same data" To address this finding, please take one of the following actions: (1) Remove the duplicated custom API in the framework, and use AOSP standard APIs instead, or (2) Protect the custom APIs with AOSP defined signature permissions If you believe this finding is incorrect please reach out to your TAM / Google point of contact and provide details that help us to validate inaccuracies and improve detection. More information is available at
06-25
该问题通常出现在设备制造商自定义系统服务(如 `OppoEngineerService`)中使用了与 Android 框架重复的 API 或对方法设置了正确的权限控制。 --- ### Duplicate Android Framework APIs Android 框架本身已经...
自定义权限 android,Android权限控制之自定义权限
weixin_29111593的博客
05-25 390
天哪,这篇文章终于说道如何自定义权限了,左盼右盼,其实这个自定义权限相当easy。为了方便叙述,我这边会用到两个app作为例子示范。Permission App: used to define a new permission这个作为定义权限的App,我称之为Permission App.Client App: used to access the specified activity of Pe...
android 使用自定义权限(1)
11-15 3221
执行运行时安全性检查      Android中的运行时安全性检查是在进程级别和操作级别上进行的。在进程级别,Android禁止一个应用程序直接访问另一个应用程序的数据。实现方法是,每个应用程序都在同的进程中运行,使用唯一且固定的ID。在操作级别上,Android定义了一组受保护的功能和资源。要使用应用程序能够访问此信息,必须向  AndroidManifest.xml 文件添加一个或多个权限
Android 微信登录/分享集成指南(原生)
qq_29769851的博客
10-08 776
现在一些主流的APP都有微信登录 / 支付 / 分享等功能,下面是集成指南 1.需要有微信开发者账号,并且有微信登录 支付的权限 Builder.Gradle中 implementation 'com.tencent.mm.opensdk:wechat-sdk-android-without-mta:+' 然后Manifest中 <activity android:na...
Android端接入微信支付的详细流程
zgzczzw的专栏
10-12 4216
随着微信支付的越来越普及,现在几乎所有的app都会接入微信的支付API,我当前也遇到了这个问题,查了 微信的网页介绍,但还是走了很多弯路,所以把我的经验分享出来,防止网友再走弯路。 我会参照微信的api介绍,加上微信给的demo一步一步来说。 微信支付接入介绍参见:https://pay.weixin.qq.com/wiki/doc/api/app.php?chapter=8_5
微信分享的代码实现
cr_123456789的博客
12-08 755
//导入依赖 compile 'com.tencent.mm.opensdk:wechat-sdk-android-with-mta:+' //导入权限 xml version="1.0" encoding="utf-8"?> manifest xmlns:android="http://schemas.android.com/apk/res/android" package="
android微信支付开发流程
zhou12314的专栏
06-02 1603
今天做了微信支付,总结一下流程:  1.创建一个广播    public class AppRegister extends BroadcastReceiver { @Override public void onReceive(Context context, Intent intent) { final IWXAPI msgApi = WXAPIFact
Android--微信支付
Mr_Hu404的博客
08-20 1382
目录 微信支付 1 一、 创建应用 2 二、 支付集成 5 1、body字段格式 8 三、 参考网址 12 四、 Android Studio的两种模式及签名配置 12 一、 创建应用 1> 登陆微信开放平台(https://open.weixin.qq.com/cgi-bin/index?t=home/index&lang=zh_CN&token=024e5186b4
android微信支付开发过程
热门推荐
伟子男的专栏
09-25 1万+
商户接入微信支付,调用API必须遵循以下规则: 表4.1 接口规则 传输方式 为保证交易安全性,采用HTTPS传输 提交方式 采用POST方法提交 数据格式 提交和返回数据都为XML格式,根节点名为xml 字符编码 统一采用UTF-8字符编码 签名算法 MD5,后续会兼容SHA1、SHA256、HMAC等。 签名要求 请求和接收数据均需要校验签名,详细方法请参考安全规范-签名算法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值