Android四大组件之一--Activity安全详解. 原帖地址:http://drops.wooyun.org/tips/3936 0x00 科普 Android每一个Application都是由Activity.Service.content Provider和Broadcast Receiver等Android的基本组件所组成,其中Activity是实现应用程序的主体,它承担了大量的显示和交互工作,甚至可以理解为一个"界面"就是一个Activity. Activity是为用户操…

数据泄漏 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等) android:allowbackup=false. 防止 adb backup 导出数据 Activity intent 的数据泄漏.比如通过 getRecentTask 然后找到对应的intent 拿到数据. Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者 setPackage做限制. ClipBorad 数据泄漏. WebView settings se…

讲解了在Android开发中logcat使用不当导致的安全问题 原帖地址:http://drops.wooyun.org/tips/3812 0x00 科普 development version :开发版,正在开发内测的版本,会有许多调试日志. release version : 发行版,签名后开发给用户的正式版本,日志量较少. android.util.Log:提供了五种输出日志的方法 Log.e(), Log.w(), Log.i(), Log.d(), Log.v() ERROR, WA…

原文地址:http://drops.wooyun.org/tips/4393 0x00 科普 Broadcast Recevier 广播接收器是一个专注于接收广播通知信息,并做出对应处理的组件.很多广播是源自于系统代码的──比如,通知时区改变.电池电量低.拍摄了一张照片或者用户改变了语言选项.应用程序也可以进行广播──比如说,通知其它应用程序一些数据下载完成并处于可用状态. 应用程序可以拥有任意数量的广播接收器以对所有它感兴趣的通知信息予以响应.所有的接收器均继承自BroadcastReceiv…

http://drops.wooyun.org/papers/2893 Intent scheme URL attack http://drops.wooyun.org/tips/3812 Android Logcat Security http://drops.wooyun.org/tips/3936 Android Activtity Security http://drops.wooyun.org/tips/4314 Android Content Provider Security ht…

Android Weekly Issue #221 September 4th, 2016 Android Weekly Issue #221 ARTICLES & TUTORIALS Android ImageView ScaleType: A Visual Guide 回想一下, 你是不是总是记不住ImageView的不同ScaleType的区别, 每次都要各种尝试来找到自己适合的. 这篇文章的作者也有这样的烦恼, 于是他把各种ScaleType都截了图: 如果用了CENTER_INSIDE…

Android Weekly Issue #219 August 21st, 2016 Android Weekly Issue #219 ARTICLES & TUTORIALS Android: Bottom Sheet Bottom Sheet是一个从底部滑上来的组件, 关于这个Google Material Design有相关的guidelines. 这篇文章主要讲了基本使用, 比较简单. 这里私心推荐一下我自己的repo和另一个我觉得很好的教程: AndroidDesignWidget…

[FAQ18076]Android 6.0 M版本默认会打开system verified boot,即在userdebug和user版本会把system映射到dm-0设备,然后再挂载.挂载前会检查system分区数据完整性,如果system分区被恶意修改了则不允许挂载system. userdebug版本如果需要remount system分区来push文件debug,不需要重新编译版本disable dm-verity,只需要执行以下adb命令即可. adb root adb disable…

一.前言 Hi,大家好,我是承香墨影! 当我们需要发布一款 App 到应用市场的时候,一般需要我们针对不同的市场生产不同的渠道包,它们使用的是同一套代码,只是会包含一些各自的渠道信息,用于我们做数据分析. 前几天,企鹅电竞团队开源了自己的 Android Apk 多渠道打包工具:VasDolly,比美团的 Walle 更全面一些. 正好借这个机会,来讲解一下 Android 的不同版本的签名机制的差异. 二.Android 的签名 2.1 应用签名 通过对 Apk 进行签名,开发者可以证明对 A…

转自:https://blog.csdn.net/ee230/article/details/73348344 Android dm-verity 实现原理深入研究 思维导图: dm-verity 说明:源码基于 SC20 平台 Android5.1Android dm-verify overview 目录 Android dm-verify overview.. 1 一.原理… 1 与Verified Boot关系… 1 dm-verity. 1 作用分区… 2 二.模块结构… 2 1.签名……