我正在编写 1)一个在 AccountManager 中存储用户名和密码的应用程序,以及 2)一个单独的后台服务应用程序,用于访问这些凭据以登录我的服务器等。通过使用这个,我发现我能够从服务(应用程序 2)调用 AccountManager.getPassword(account) 来访问我使用其他应用程序(应用程序 1)添加到 AccountManager 的帐户类型。
因此,我开始想知道是什么阻止任意恶意应用程序从 1) 包括清单中的字段以获得帐户管理访问权限,然后 2) 迭代特定类型的所有帐户并调用 mAccountManger.getPassword (帐户)他们。我知道在安装过程中,会弹出一个对话框,其中包含应用程序请求使用的所有权限,但我认为我们不能指望普通用户会拒绝应用程序,因为它请求可疑的权限。
有没有办法防止在帐户类型上调用 getPassword?是否有方法可以保护 AccountManager 中的帐户免受已授予自己大量帐户权限的应用程序的影响?
帐户数据保护基于发出请求的进程的 Linux 用户 ID (UID)。 (看安全和权限 http://developer.android.com/guide/topics/security/security.html每个帐户都与一个帐户验证器(具有 UID)相关联,并且调用的进程getPassword(或其他几种方法)必须与验证器具有相同的 UID。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
