辰东完美世界有声小说,将夜猫腻小说,盗墓笔记小说txt下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

Android12已來，你的App崩潰了嗎？

Android 12 已來，你的 app 崩潰了嗎?我們已經(jīng)開始做 Android 12 的適配了，在 Android 12 中包含了很多的功能和一些行為的變更，接下來我們一起來分析這些行為的變更對我們的應用產(chǎn)生了那些影響。

成都創(chuàng)新互聯(lián)公司長期為數(shù)千家客戶提供的網(wǎng)站建設服務，團隊從業(yè)經(jīng)驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為遵化企業(yè)提供專業(yè)的網(wǎng)站制作、成都做網(wǎng)站，遵化網(wǎng)站改版等技術服務。擁有10多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

通過這篇文章你將學習到以下內(nèi)容：

為什么在 Android 12 上需要顯示聲明 android:exported 屬性?
為什么在 Android 12 上需要顯示指定 PendingIntent 的可變性?
為什么在 Android 12 上限制 adb 備份的默認行為?
如何檢查 App 的安全漏洞?

android:exported 屬性

在 Android 12 中包含的 activity 、 service 或 receiver必須為這些應用組件顯示聲明 android:exported 屬性，如下所示。

 
 
 
 
  
  
  
  
  
  
  
  
    android:name=".TestActivity" 
  
  
  
      android:exported="false"> 
  
  
  
       
  
  
  
          ......

如果在包含的 activity 、 service 或 receiver 組件中，沒有顯示聲明 android:exported 的值，你的應用將無法安裝，錯誤日志如下所示。

 
 
 
 
  
  
  
  Installation did not succeed. 
  
  
  
  The application could not be installed: INSTALL_FAILED_VERIFICATION_FAILURE 
  
  
  
  List of apks: 
  
  
  
  [0] '.../build/outputs/apk/debug/app-debug.apk' 
  
  
  
  Installation failed due to: 'null'

如果您的應用在需要聲明 android:exported 的值時未進行此聲明，錯誤日志如下所示。

 
 
 
 
  
  
  
  Targeting S+ (version 10000 and above) requires that an explicit value for \ 
  
  
  
  android:exported be defined when intent filters are present

如果對上面的異常產(chǎn)生的條件，不是很理解，可以點擊下方鏈接查看，目前已經(jīng)有很多開源項目都已經(jīng)開始適配這個行為的變更了，例如 leakcanary 等等。

這個行為的變更無論是對庫開發(fā)者和還是應用開發(fā)者影響都非常大。

為什么在 Android 12 上需要顯示聲明 android:exported 屬性

android:exported 屬性的默認值取決于是否包含，如果包含那么默認值為 true，否則 false。

當 android:exported="true" 時，如果不做任何處理，可以接受來自其他 App 的訪問
當 android:exported="false" 時，限制為只接受來自同一個 App 或一個具有相同 user ID 的 App 的訪問

正因為 android:exported 的屬性的默認值的問題，Twicca App 發(fā)生過一次安全性問題，因為另一個沒有訪問 SD 卡或網(wǎng)絡權限的 App，可以通過 Twicca App 將存儲在 SD 卡上的圖片或電影上傳到 Twicca 用戶的 Twitter 賬戶上的社交網(wǎng)絡上。

產(chǎn)生問題的代碼如下所示：

因為添加了 intent-filter 所以 android:exported 的屬性的默認值為 true，因此可以接受來自其他 App 的訪問，進而造成了上述問題(通過 Twicca App 將存儲在 SD 卡上的圖片或電影上傳到 Twicca 用戶的 Twitter 賬戶上的社交網(wǎng)絡上)，而解決方案有兩個：

方案一：添加 android:exported="false" 屬性

方案二：Twicca App 沒有使用方式一，而是檢查調(diào)用者的包名是否與自身的包名相同

 
 
 
 
  
  
  
  public void onCreate(Bundle arg5) { 
  
  
  
      super.onCreate(arg5); 
  
  
  
      ... 
  
  
  
      ComponentName v0 = this.getCallingActivity(); 
  
  
  
      if(v0 == null) { 
  
  
  
          this.finish(); 
  
  
  
      } else if(!jp.r246.twicca.equals(v0.getPackageName())) { 
  
  
  
          this.finish(); 
  
  
  
          } else { 
  
  
  
              this.a = this.getIntent().getData(); 
  
  
  
              if(this.a == null) { 
  
  
  
                  this.finish(); 
  
  
  
              } 
  
  
  
              ... 
  
  
  
          } 
  
  
  
      } 
  
  
  
  }

這種方案也是可行的，因為在一臺設備上，不可能會出現(xiàn)兩個包名相同的應用。

這僅僅是關于 activity 的安全漏洞的其中一個，在不同的場景下利用這些漏洞做的事情也可能不一樣。當然還有 service 和 receiver 組件也都是一樣，存在安全性問題。

指定 PendingIntent 的可變性

在 Android 12 中創(chuàng)建 PendingIntent 的時候，需要顯示的聲明是否可變，請分別使用 PendingIntent.FLAG_MUTABLE 或 PendingIntent.FLAG_IMMUTABLE 標志，如果您的應用試圖在不設置任何可變標志的情況下創(chuàng)建 PendingIntent 對象，系統(tǒng)會拋出 IllegalArgumentException 異常，錯誤日志如下所示。

 
 
 
 
  
  
  
  PACKAGE_NAME: Targeting S+ (version 10000 and above) requires that one of \ 
  
  
  
  FLAG_IMMUTABLE or FLAG_MUTABLE be specified when creating a PendingIntent. 
  
  
  
   
  
  
  
  Strongly consider using FLAG_IMMUTABLE, only use FLAG_MUTABLE if \ 
  
  
  
  some functionality depends on the PendingIntent being mutable, e.g. if \ 
  
  
  
  it needs to be used with inline replies or bubbles.

為什么在 Android 12 上需要顯示的指定 PendingIntent 的可變性

在 Adnroid 12 之前，默認創(chuàng)建一個 PendingIntent 它是可變的，因此其他惡意應用程序可能會攔截，重定向或修改此 Intent。(但是是有條件限制的)

一個 PendingIntent 是一個可以給另一個應用程序使用的 Intent，PendingIntent 接收待處理意圖的應用程序可以使用與產(chǎn)生待處理意圖的應用程序相同的權限和身份執(zhí)行待處理意圖中指定的操作。

因此，創(chuàng)建待處理意圖時必須小心，為了安全性 Google 在 Android 12 中需要開發(fā)者自己來指定 PendingIntent 的可變性。

adb 備份限制

Android 開發(fā)者都應該知道這個命令 adb backup , 它可以備份應用的數(shù)據(jù)，在 Android 12 中，為了保護私有應用數(shù)據(jù)，用戶運行 adb backup 命令時，從設備導出的任何其他系統(tǒng)數(shù)據(jù)都不包含應用數(shù)據(jù)。

如果你在測試和開發(fā)過程中需要使用 adb backup 來備份應用數(shù)據(jù)，你可以在 AndroidManifest 中將 android:debuggable 設置為 true 來導出應用數(shù)據(jù)。

 
 
 
 
  
  
  
  
  
  
  
  
    android:name=".App" 
  
  
  
      android:debuggable="true" 
  
  
  
      ....../>

注意：在發(fā)布應用前將 android:debuggable 設置為 false。

為什么在 Android 12 上限制了 adb backup 命令的默認行為

因為這個存在嚴重的安全問題，當初 Google 為了提供 App 數(shù)據(jù)備份和恢復功能，可以在 AndroidManifest 中添加 android:allowBackup 屬性，默認值為 true, 當你創(chuàng)建一個應用的時候，會默認添加這個屬性，如下所示。

 
 
 
 
  
  
  
  
  
  
  
  
    android:name=".App" 
  
  
  
      android:allowBackup="true" 
  
  
  
      ....../>

當 android:allowBackup="true" 時，用戶可以通過 adb backup 和 adb restore命令對應用數(shù)據(jù)進行備份和恢復，也就是說可以在其他的 Android 手機上安裝同一個應用，通過如上命令恢復用戶的數(shù)據(jù)。

為了安全起見，我們在發(fā)布出去的 Apk 中一定要將 android:allowBackup 屬性設置為 false 來關閉應用程序的備份和恢復功能，以免造成信息泄露。國民級應用 XX 信, 在曾今發(fā)出的版本中 allowBackup 的屬性值是 true，被其他逆向開發(fā)者利用之后，現(xiàn)在的版本中這個值已經(jīng)修改為 false了，有興趣的小伙們可以反編譯看看。

如何檢查 App 的安全漏洞

在這里推薦一個開源項目 linkedin/qark 這是由 LinkedIn 開源的項目，這個工具被設計用來尋找與安全相關的 Android 應用程序漏洞，無論是源代碼還是打包的 APK，具體的用法文檔上寫的非常的清楚了，這里不做詳細的介紹了。

當然也有很多公司花了重金去購買第三方的服務來檢查 App 的安全漏洞。

在 Android 12 上這幾個行為的變更它們都有一個共性：安全性，可見 Google 這幾年在安全上做了很多的努力，當然還有其他的一些行為的變更，可以前往查看行為變更：以 Android 12 為目標平臺的應用。

https://developer.android.com/about/versions/12/behavior-changes-12

最后

在這里還分享一份由大佬親自收錄整理的學習PDF+架構視頻+面試文檔+源碼筆記，高級架構技術進階腦圖、Android開發(fā)面試專題資料，高級進階架構資料

這些都是我現(xiàn)在閑暇時還會反復翻閱的精品資料。里面對近幾年的大廠面試高頻知識點都有詳細的講解。相信可以有效地幫助大家掌握知識、理解原理，幫助大家在未來取得一份不錯的答卷。

當然，你也可以拿去查漏補缺，提升自身的競爭力。

分享名稱：Android12已來，你的App崩潰了嗎？
URL分享：http://m.fisionsoft.com.cn/article/dhgsjid.html

新聞中心

android:exported 屬性

指定 PendingIntent 的可變性

adb 備份限制

如何檢查 App 的安全漏洞

最后

其他資訊