9

当您在 Android 项目中导入第三方 API(数据包依赖注入、生成的库、源代码等)时,您会假设它们的行为与宣传的一样。大多数时候代码不是开源的,它被混淆或只是编译。

有没有办法控制这些 API 对网络、联系人、视频和音频、位置等重要系统资源的访问?

最好的方法是为proxy他们提供系统资源。这将有以下好处:

  • 可以通过在代理中提供模拟数据来执行测试
  • 如果不需要,您的应用程序不必提供 API 所需的所有权限,并且代理将通过模拟授予的权限允许 API 不会因为权限而中断
  • 过滤在本地收集的关于用户的可能数据并发送到 API 主存储库,用于广告或恶意意图

由于用户定义的活动和服务无法控制第三方 API 的服务,甚至无法阻止它们直接调用任何 Android 公共接口,因此我无法找到如何实现这样的解决方案。

该解决方案不需要 root 访问权限,因为您不希望在您自己的应用程序边界之外拥有此控件。

这个问题的内容与几个问题相关联,这些问题解决了这个广泛问题的特殊性(内容提供者的日志数据网络请求——这让我在研究这个问题的答案时想到了这个问题)

注意:简短的回答是否定的,但一个人可以有足够的创造力(也许去本地级别的黑客可能会解决这个问题 - idk)

4

1 回答 1

2

在名为 com.myproxies 的包中为您想要保护的所需 Android 资源构建代理类(例如 MediaRecorder、SensorManager、Camera、java.net.HTTPURLConnection)。在代理中,您需要实现类的所有公共方法正在嘲笑,您需要实现逻辑以允许访问(转发到适当的方法)或拒绝。一个有用的步骤是检查方法的调用者

  • 如果您打算导入源代码,请重构代码以将包更改为您的代理(proguard 可以提供帮助)。

  • 如果您正在使用库,请获取Jar Jar Links,这是一个实用程序,可以轻松重新打包 Java 库并将它们嵌入到您自己的发行版中,并在内部将包名称更改为包中将用作代理的类的名称.

  • 如果你使用 Maven 或者 Gradle 包依赖注入,你也可以尝试导入 Jar Jar Links 并在编译时进行包重构(不太确定是否可以做到)

不幸的是,正如我亲身经历的那样,破坏 API 非常容易,并且涉及大量的体力劳动。

于 2016-02-25T15:42:08.650 回答