简介: Intent(意图),负责完成Android应用、组件之间的交互与通信。
常见的Activity的调用、Receiver的发送、Service的启动都需离不开Intent。
Intent通常包含的信息:
通常应用里一个显示界面就是一个Activity,Activity负责显示界面的元素和与用户之间的交互。
Activity首先需要在AndroidManifest.xml中注册,注册的方式如下:
<activity android:name="com.test.TestActivity"></activity>
//这就是一个Activity最基本的注册方式,在activity标签下指定组件的组件名即可
启动Activity需要通过Context类的startActivity()来实现,Android中Activity、Service都是Context的子类,
所以在Activity中可以直接调用startActivity()。下面是在一个Activity启动另外一个Activity的例子:
Intent intent = new Intent(this, TestActivity.class);
startActivity(intent);
/*如上代码,当TestActivity在前面所说的Manifest中注册后,通过该代码就能将TestActivity打开。
创建了一个Intent,Intent分别传入了一个Context对象(上述传入this是因为在Activity构造该对象是,Activity本身就是一个Context,所以传入一个this即可), 和一个Activity类(需启动的Activity)
*/
Activity的启动通常有两种方法,如上描述的就是其中一种启动方式,直接指定了需要启动的Activity的具体的类,这种启动Activity的方式称之为显示启动。另外一种启动Activity的方式称为隐式启动。
什么式隐士启动呢?
所谓隐式启动就是Intent中不再包含需要启动的具体的Activity类,而是通过Intent提供某些信息,系统去检索符合启动意图的Activity。这里需要插入一个概念,意图过滤器。在Manifest中注册Activity等Android组件时,在组件标签下还可以添加一些对应的属性标签。
例如 :
<intent-filter>
//标签中可以指定组件的过滤信息,最常指定的就是Action
<action android:name="com.test.testActivity.action.TEST" />
</intent-filter>
通过隐式意图启动Activity的方式:
Intent intent = new Intent();
intent.setAction("com.test.testActivity.action.TEST");
startActivity(intent);
/*通过该方式,就能启动匹配到具有对应Action的Activity,如果
匹配到多个Activity具有该Action,当前Android系统处理方式为,通过对话框让用户自己选择。
*/
通常各组件,例如Activity在Manifest中注册时,在对应的组件标签下有一个标签为(android:exported),他表示该组件是否允许外部的应用调用该组件。通常情况下该属性默认是false的,即不允许外部应用调用组件。但是,当组件添加了意图过滤之后,该属性默认就为true,即外部的应用通过隐式意图的方式也能将对应的组件启动起来。这种情况我们暂称其为组件暴露,而暴露则意味着很有可能存在安全问题。
下面通过一个场景来分析可能出现的问题:
/*首先在test1应用中注册了一个WebActivity
同时为该Activity添加Action过滤action android:name="com.test1.action.VIEW_URL
功能:该Activity需要接收一个url地址,然后访问该地址。
*/
<activity android:name="com.test1.WebActivity">
<intent-filter>
<action android:name="com.test1.action.VIEW_URL"/>
<category android:name="android.intent.category.DEFAULT"/>
</intent-filter>
</activity>
/*在test2应用中注册一个TestActivity,该Activity会通过隐式意图调起test1中的WebActivity*/
<activity android:name="com.test2.TestActivity"/>
/*如下为TestActivity中隐式启动WebActivity的代码*/
Intent intent = new Intent();
intent.setAction("com.test1.action.VIEW_URL");
startActivity(intent);
/*如下为WebActivity中获取url值并加载的代码*/
String url = getIntent().getStringExtra("url");
Log.d("WebActivity", "url: " + url.toString());
webView.setWebViewClient(new WebViewClient());
webView.loadUrl(url);
分析,以上的代码会出现什么问题?
Intent intent = new Intent();
intent.setAction("com.test1.action.VIEW_URL");
startActivity(intent);
到了这里,很多人应该知道问题的所在了,有人说,我可以在Activity里面先检查获取到的url是不是有效的,使用前先判断下是否为空吧。其实作为一个严谨的程序来说,对于任何非信任来源的参数都应该检查参数的合法性,判断参数是否符合程序的预期需要。这么简单?这就是组件安全?NO,这顶多就是个参数校验吧!
看到上面,有人会说了,这个Activity是我自己使用的,我自己在编码时能保证带有合法的参数,但问题是当Activity的exported为true,表明该activity已经完全暴露,很简单的方式就能获取到该activity的action,进而一些恶意的应用将会恶意的启动它,当某天这个应用出名了,拥有大量的用户,你能保证不会有恶意的应用对它做破坏?而只是简单的参数合法检验能判断可能会阻止程序的崩溃,但会不会有一些不是很优雅的url传入我们的应用?
该组件不安全,归根到底还是由于将它暴露给了其他应用,而如果我们能够控制它的暴露范围,将它只暴露给我们信赖的应用使用,是不是就不容易存在上述的一些恶意攻击?下面就来看看如何将其暴露给信赖的应用。
Android提供了Permission检查机制来控制了一个应用拥有哪些执行权利,例如应用拥有读写存储权限才能拥有读写设备存储的文件的权利,那么是否能通过权限来控制一个应用是否有启动该activity的权利呢?答案显而易见,不然就不会提它了。
Android提供了自定义权限的能力,应用可以定义自己的权限,如下方式展示了如何在Manifest自定义一个Permission:
<permission
android:name="com.myself.permission.WEB"
android:protectionLevel="signature"
android:label="permission for opening Web activity"
/>
/**
* 这里主要介绍三个permission标签下的属性配置:
* name:该权限的名称,使用该权限时通过名称来指定使用的权限
* protectionLevel:该权限受保护的等级,很重要,主要介绍三个
* ————signature:签名级别权限,即权限的定义方和注册方必须具有相同的签名才有效
* ————system:系统级别权限,即权限的定义方和注册方必须为系统应用
* ————signatureOrSystem :同签名或系统应用,上述二者具备其一即可
* label:一般是权限的描述
*/
那么权限的定义完成了,如何使用它来保护暴露的组件呢,如下所示:
<permission android:name="com.myself.permission.WEB"
android:protectionLevel="signature"/>
<activity
android:permission="com.myself.permission.WEB"
android:name="com.test1.WebActivity">
<intent-filter>
<action android:name="com.test1.action.VIEW_URL"/>
<category android:name="android.intent.category.DEFAULT"/>
</intent-filter>
</activity>
/**
* 如上,在activity声明时,activity标签下有一个permission,通过permission的name就能指定保护该activity的权限,这样,只有具有了该权限的activity才能启动它,注意在定义方和使用方都要定义和声明自定义的权限
*/
有了上述的约束方式,是不是activity的暴露范围就可控了,比如,当同一个公司的两个应用间存在相互的组件调用时,就可以使用同签名的权限来限制,一般外部应用不太容易拿到一个应用的签名,如果保护妥当的话,进而组件是不是就控制在可信赖的调用区域了。
这里只是举例了activity的例子,而Android还有BroadcastReceiver、Service等组件,其他组件暴露的安全控制也可通过permission来控制,具体的分析后续再跟进。
广播作为跨进程通信的一种方式,可以接收到其他进程发送过来的消息,所以广播在其生命周期内完全就是一个暴露的组件,相应的就会存在组件安全的问题。BroadcastReceiver的注册有两种方式(即静态注册和动态注册,静态注册–在Manifest中声明注册,动态注册–在代码中依托于其他组件,通过registerReceiver注册)。
BroadcastReceiver主要存在广播的发送方和接收方,所以当使用permission来校验通信的时候一般都需要双向的校验,即广播的方送方和接收方都需要添加权限检验,保证发送方只将广播发送给信赖的接收方,同样的接收方也只接受来自信赖方的广播。
Android可以在Context实现类中通过sendBroadcast()方法发送广播,主要通过Intent来携带广播的信息,如何在发送广播的时候添加权限校验呢?
<permission
android:name="com.myself.permission.BROADCAST_SEND"
android:protectionLevel="signature"
android:label="permission for broadcast send"
/>
<uses-permission android:name="com.myself.permission.BROADCAST_SEND"/>
/**首先同Activity中讲的一样,在使用权限之前需要定义一个自定义的权限*/
/**
* sendBroadcast(Intent intent, String receiverPermission)
* sendBroadcast存在上述发送广播的一个方法
* receiverPermission即是需要接收方拥有的权限
*/
Intent intent = new Intent();
intent.setAction("com.practice.broadcast.action.SEND");
sendBroadcast(intent, "com.myself.permission.BROADCAST_SEND");
如上述,该广播发送方添加了权限(“com.myself.permission.BROADCAST_SEND”)的校验,即若一个广播的接收方想要接收到该广播的话,必须在Manifest中添加相应的该权限才能成功接收到该权限。即接收方Manifest添加权限:
<uses-permission android:name="com.myself.permission.BROADCAST_SEND"/>
发送方权限校验完成。
广播接收者应为分为静态注册和动态注册两种注册方式,所以权限的校验也分这两种情况来分别说明。
public class Receiver extends BroadcastReceiver {
//接收到广播信息的回调
@Override
public void onReceive(Context context, Intent intent) {
//还记得Activity时讲的么,对外来的参数应该做些合法的检查
String action = intent.getAction();
if (TextUtils.isEmpty(action)) {
return;
}
//TODO: deal with something
}
}
<permission
android:name="com.myself.permission.BROADCAST_RECEIVER"
android:protectionLevel="signature"
android:label="permission for broadcast receiver"
/>
<uses-permission android:name="com.myself.permission.BROADCAST_RECEIVER"/>
<receiver
android:name="com.practice.Receiver"
android:permission="com.myself.permission.BROADCAST_RECEIVER">
<intent-filter>
<action android:name="com.practice.broadcast.action.SEND"/>
</intent-filter>
</receiver>
/**
* 同样的receiver标签下也存在属性android:permission,
* 所以这里同activity里一般,只需定义一个权限,讲权限添加到permission标签
* 即可为权限接收方添加权限的校验
*/
当静态广播接收者添加了如上的权限校验后,意味着,它将只接受来自具有(“com.myself.permission.BROADCAST_RECEIVER”)权限的发送者发送的(action:“com.practice.broadcast.action.SEND”)广播,其他不具有该权限的广播就算发送了对应action的广播,该接收方也不会接收到,发送方需要添加如下权限:
<permission
android:name="com.myself.permission.BROADCAST_RECEIVER"
android:protectionLevel="signature"
android:label="permission for broadcast receiver"
/>
<uses-permission android:name="com.myself.permission.BROADCAST_RECEIVER"/>
说完了静态注册,再来看下动态注册。如下:
Receiver receiver = new Receiver();
IntentFilter intentFilter = new IntentFilter();
intentFilter.addAction("com.practice.broadcast.action.SEND");
registerReceiver(receiver, intentFilter);
/**
* 通常情况下就能完成一个receiver的动态注册,但这是一个没有权限检查的广播接受者,
* registerReceiver是注册广播的方法,不妨大胆的猜想下,是否有个registerReceiver的重载方法,带有permission参数呢,答案显而易见,
* 因此带权限的动态注册广播如下
*/
registerReceiver(receiver, intentFilter, "com.myself.permission.BROADCAST_RECEIVER", null);
//第三个参数就是权限
到这里,广播的组件安全也讲完了,不妨动手试试你的BroadcastReceiver能够通过权限过滤掉无关的广播了么?
本文讲到了BroadcastReceiver,这里再做一点额外的补充,
Android O上为了App性能和功耗的考虑,对静态注册的广播做了很大的限制,除了少部分被豁免的系统广播外,豁免名单以外的系统广播和自定义的广播,静态注册的广播都将不再能接收到,例如安装包卸载和安装的广播就讲接受不到,具体可以查阅谷歌开发者官网的Android O行为变更。后台执行限制
那么如何来处理之前静态注册的广播呢?