java - 对敏感数据使用 startActivityForResult() 是否安全？

Question

我正在考虑使用一些参数(敏感 session )启动一个 Activity (不同的应用程序)，并且想知道这里最安全的方法是什么。例如，startActivityForResult() 可以在 Android 上使用，我想知道是否有其他应用程序可以看到此请求，或者是否需要 root 权限来拦截此类请求？那么基本上，使用它是否安全？默认情况下，我们假设用户没有 root 权限。

Answer 1

I was wondering if any other app can see this request

响应您的 startActivityForResult() 调用的应用可以看到该请求。这可能是:

• 您希望将数据发送到的真实的未经修改的应用

• 该应用程序的黑客版本

• 完全独立的应用，恰好符合您的Intent，特别是当您使用隐式Intent时

您可以尝试检查签名来确认对方应用程序是否确实是真正的未经修改的应用程序，这样就可以避免后两种情况。

在旧版本的 Android 上，Intent 作为支持概览屏幕(最近任务列表)的数据的一部分对其他应用可见。这在 4.x 系列 IIRC 的某个地方得到了解决。

据我所知，这是针对非 root 设备的仅有的两种攻击。