出現原因
平時開發過程中避免不了要使用一些三方依賴來實現我們的需求,但是有時三方申請的權限,我們並沒有使用到,但是打包過程中又會合併到AndroidManifest.xml文件中,這就造成了權限濫用的風險。
風險描述
權限是一種安全機制,主要用於限制應用程序內部某些具有限制性特性的功能使用以及應用程序之間的組件訪問。Android通過在AndroidManifest.xml中增加權限來控制限制性功能的使用和組件訪問。權限濫用是指應用權限開放過多、自定義權限限制不嚴格,導致攻擊者利用應用權限可以使用某些特殊的功能,如撥打電話、訪問攝像頭、利用麥克風錄音、編寫並植入木馬等。可能導致隱私數據泄露,釣魚扣費等風險。
查看apk中權限
使用aapt工具
命令:aapt dump badging xxx.apk
結果如下:
移除權限
在app下AndroidManifest.xml中使用 tools:node="remove"
,在打包時移除權限.
<uses-permission
android:name="android.permission.VIBRATE"
tools:node="remove" />
移除後,查看新包中權限,結果如下:
發現在新的apk中,沒有了"android.permission.VIBRATE"權限。