随着Android 5.0的到来,原生的权限管理控制功能AppOps终于登场(虽然4.3的代码中已经包含)。
它的使用路径是Settings -> Security -> AppOps(有些厂商的ROM可能依然屏蔽着,或名字被修改)
AppOps引进的一个新概念"Ops",也就是"Operations"操作。
之前的第三方应用(如LBE)和手机厂商ROM(三星、MIUI),都实现了类似功能,但强调的是permission权限。
而在AppOps中,ops操作是映射到permission的(一般是1:1,但不是所有op都有对应的permission)
(见AppOpsManager.java的sOpToSwitch和sOpPerms数组)
在经历了工信部新版本的入网信息安全标准,以及各大运营商越来越详细的安全功能要求之后,
像AppOps这种权限/操作控制功能(以及更底层的SELinux/SEAndroid)将会是标配。
所以,我们来了解一下,开发者如何针对这些控制,设计开发出稳定的App。
1. 假定app用到的权限会被禁用
开发过程中,当调用到需要权限的API时候,一定要考虑两个问题:“这个API调用一定会成功吗?”“如果调用失败该怎么处理?”
权限控制的方法有很多,比如《Android权限机制(二) 权限控制的设计》中提到的,通过让checkPermission()返回false,这会导致Framework层抛出SecurityException。
所以要try/catch来处理,防止App因此crash。
ContentResolver resolver = getContentResolver();
try {
Cursor cur = resolver.query(
ContactsContract.Contacts.CONTENT_URI,
null,
null,
null,
ContactsContract.Contacts.DISPLAY_NAME
+ " COLLATE LOCALIZED ASC");
} catch (SecurityException e) {
Log.e("query", "permission denied");
}
另外一种控制方法就如AppOps、CyanogenMod或XPosed,在调用此类API的时候返回空/假数据,所以调用完API要检查得到的结果是否有效。
LocationManager lm = (LocationManager) getSystemService(Context.LOCATION_SERVICE);
boolean isNetworkEnabled = lm.isProviderEnabled(LocationManager.NETWORK_PROVIDER);
Log.i("test", "isNetworkEnabled = " + isNetworkEnabled);
if (isNetworkEnabled) {
Location location = lm.getLastKnownLocation(LocationManager.NETWORK_PROVIDER);
Log.i("test", "location = " + location);
}
//权限被阻拦的log: 20:09:45.985: I/test(30816): isNetworkEnabled = true 20:09:45.985: I/test(30816): location = null //权限不被阻拦的log: 20:12:07.955: I/test(31132): isNetworkEnabled = true 20:12:07.955: I/test(31132): location = Location[network *,* acc=104 et=+46m11s701ms]
2. 减少不必要的权限申请
权限的控制,其实就是涉及到的就是manifest中申请的权限,以及运行中调用需要权限的API。
可能有人会问,不申请这些权限,怎么达到我想要的功能?
其实有很多种方法,比如参考《你的Android应用完全不需要那么多的权限》。把需要权限的操作交给系统app去做,是个稳妥的选择。
更有创意的,参考最近知乎一条很有意思的提问,《搜狗号码通 lite 是如何在不越狱的情况下判定骚扰电话的?》。绕开权限控制的方法有很多。
3. 其他的权限控制方法
比如"android.permission.INTERNET"之类的底层权限,并不是在调用API做的检查,而是通过将进程添加进inet用户组来达到允许联网的效果。(/system/netd/include/Permisson.h, /system/netd/server/NetworkController.cpp)。
这就是为什么没有添加这个权限,在Java或NDK下都联网失败的原因。
还有就是在4.3引入,在4.4中强制打开的SELinux/SEAndroid。
虽然SELinux在桌面Linux上被很多人吐槽,但是在服务器和Android中,却运行得很好。
简单来说,移植到Android的SELinux(SEAndroid)是在Linux userspace和kernel共同完成的MAC控制的安全功能,
它可以由管理员/手机厂商的push来配置sepolicy(安全策略)。
常见的由SELinux阻拦导致的错误可以是open()的时候被permission denied。这往往是尝试打开某些系统目录下文件导致的。
总结
在编写App(包括NDK)的时候,一定要有权限被禁用的意识,多考虑可能因此发生的情况。
此外,要知道不同手机厂商ROM对于权限控制功能的实现以及对于sepolicy的配置不尽相同。
有可能这个手机上运行成功,那个手机上就出错了。
因此,多买些手机,多换几个版本,做详尽的测试吧!