恶意 Android 应用程序可能会在不请求清单中的权限的情况下收集文本?
Possible for malicious Android app to collect texts without requesting the permission in the manifest?
从我所看到的一切来看,似乎不可能在 Android 应用程序中收集文本、Phone 通话、日志等,而无需明确声明相应的权限在清单中。总是这样吗?
如果某个应用使用 Android 插件(例如 Apache Cordova)怎么办?插件必须在 config.xml?
中明确声明权限
同理,应用程序是否必须显示它可以 request/has 在应用程序设置权限中请求的所有权限?
我很好奇恶意 Android 应用程序是否能够隐藏它们正在使用的权限。
不,应用无法隐藏它们能够访问的权限。
Apache Cordova、PhoneGap、React Native、Flutter 等(以及所有其他)框架都在 Android 框架内运行,并受到相同的安全约束:它们必须声明权限在清单中,如果目标是 Android 6.0 或更高版本,则在运行时请求危险权限。
如果使用任何框架的应用程序能够绕过这些要求,那将是平台中的安全漏洞(除非他们能够这样做的原因是另一个应用程序中的漏洞,例如如果应用程序将用户的联系人暴露给任何未经许可检查就请求他们的应用程序。
设置中显示的权限基于清单中声明的权限和用户在运行时授予的权限,因此他们也无法在那里隐藏东西,尽管值得注意的是少了一些-危险权限不显示在初始屏幕上,而是显示在“所有权限”菜单选项后面。
从我所看到的一切来看,似乎不可能在 Android 应用程序中收集文本、Phone 通话、日志等,而无需明确声明相应的权限在清单中。总是这样吗?
如果某个应用使用 Android 插件(例如 Apache Cordova)怎么办?插件必须在 config.xml?
中明确声明权限同理,应用程序是否必须显示它可以 request/has 在应用程序设置权限中请求的所有权限?
我很好奇恶意 Android 应用程序是否能够隐藏它们正在使用的权限。
不,应用无法隐藏它们能够访问的权限。
Apache Cordova、PhoneGap、React Native、Flutter 等(以及所有其他)框架都在 Android 框架内运行,并受到相同的安全约束:它们必须声明权限在清单中,如果目标是 Android 6.0 或更高版本,则在运行时请求危险权限。
如果使用任何框架的应用程序能够绕过这些要求,那将是平台中的安全漏洞(除非他们能够这样做的原因是另一个应用程序中的漏洞,例如如果应用程序将用户的联系人暴露给任何未经许可检查就请求他们的应用程序。
设置中显示的权限基于清单中声明的权限和用户在运行时授予的权限,因此他们也无法在那里隐藏东西,尽管值得注意的是少了一些-危险权限不显示在初始屏幕上,而是显示在“所有权限”菜单选项后面。