我正在开发两个应用程序(在Android 4.2.2上),应用程序A包含一个“私有”区域和应用程序B,可以打开带有Intent的私有区域。 我使用了带有protectionLevel =“signature”的自定义权限,以确保仅当A和B使用相同的密钥库构建时才会接收广播,并且它运行良好。
在此之后,我做了一些测试,最后找到了一种方法来“绕过”权限:
来自未定义自定义权限的应用的 su -c am broadcast ...
所以这意味着如果有人在root设备上安装应用程序A,他可以向我的应用发送广播消息并访问“私有”区域......
从我的角度来看,我不确定这是安全漏洞还是预期的行为。 我没有找到关于此的文档... 我是否真的需要在额外内容或类似内容中添加密码以确保此访问受到保护?
由于