为了保护恶意应用程序不访问内容提供者,一种方法是设置android:protectionLevel =“signature”。
这样,只有另一个使用相同签名签名的应用才能访问内容提供商的内容。
但它安全吗?它是如何检查签名的?例如,我有一个签名的应用程序A,签名存储在某个地方供另一个应用程序检查吗?
或者检查是由另一种机制完成的?
先谢谢
答案 0 :(得分:0)
根据Android开发人员指南。
仅当请求的应用程序使用与声明该权限的应用程序相同的证书进行签名时,系统才授予的权限。如果证书匹配,系统会自动授予权限,而不会通知用户或要求用户明确批准。
要伪造签名,您需要知道用于签署应用程序的私钥。所以它现在非常安全(特别是如果你相信P!= NP :))。