Android Content Provider Security

点评:文章亮点在在Content Provider组件可导出与权限配置不当时使用ADBDrozer获取与修改敏感数据的方法与总结的经典案例。Content Provider Helper这个小工具在真机测试过程中还是挺方便的,分享给大家:点击下载

0x00 科普


内容提供器用来存放和获取数据并使这些数据可以被所有的应用程序访问。它们是应用程序之间共享数据的唯一方法;不包括所有Android软件包都能访问的公共储存区域。Android为常见数据类型(音频,视频,图像,个人联系人信息,等等)装载了很多内容提供器。你可以看到在android.provider包里列举了一些。你还能查询这些提供器包含了什么数据。当然,对某些敏感内容提供器,必须获取对应的权限来读取这些数据。[……]

MORE

Android Activtity Security

点评:Activity组件作为Android App四大组件中最常见的组件,它的安全性也是最为重要的,本文作者对Activity组件生命周期,两种启动方式(显式、隐式)和加载模式做了简单介绍,并对Activity组件暴露可能造成的权限提升绕过,敏感信息泄露,界面劫持,Crash,远程代码执行等安全漏洞进行详细的讲解,附加的案例都十分经典。

0x00 科普


Android每一个Application都是由Activity、Service、content Provider和Broadcast Receiver等Android的基本组件所组成,其中Activity是实现应用程序的主体,它承担了大量的显示和交互工作,甚至可以理解为一个”界面”就是一个Activity。[……]

MORE

Android Logcat Security

点评:文章对安卓开发过程中开发者们最常用的logcat功能存在的安全问题做了详细的分析。

0x00 科普


development version :开发版,正在开发内测的版本,会有许多调试日志。

release version : 发行版,签名后开发给用户的正式版本,日志量较少。

android.util.Log:提供了五种输出日志的方法

Log.e(), Log.w(), Log.i(), Log.d(), Log.v()[……]

MORE