假设我想运行一些请求太多权限的程序。例如,从麦克风录音或阅读手机的IMEI。但是,没有实际的解释,为什么对于此特定应用程序,除了数据挖掘外,还需要从麦克风或IMEI号码进行录音。

我想尝试此应用程序,但要限制其权限。例如,如果读取IMEI,则应该获得随机IMEI(但每次都相同)。如果尝试读取麦克风,则应该保持静音。

其他一些有趣的权限:


电话簿的读/写访问权限-
返回零。接触者,假装
可以,但实际上
什么也不做。
发送短信-假装已发送短信,但不执行任何操作。
获取
可见的Wi-Fi网络列表-返回零
网络。有这样的工具吗?

评论

我一直在stackexchange上问这个问题,但由于此站点具有更广泛的android用户,因此被定向到此处。
我从未见过这样的事情,但我不明白为什么无法完成。这是个好主意。
您可以使用开发人员SDK中的仿真器来完成很多工作吗?
基本上是。可以将模拟器用作沙箱。但是,如果我想在实体电话上运行应用程序但又要保护我的隐私怎么办?
我知道这个问题很古老,但是您能详细说明一下什么背景使您想要在自己的个人物理设备上测试某些恶意应用并回答虚假的个人数据吗?对我来说,当前的cyanogenmod解决方案(拒绝调用,不会产生虚假数据)就足够了。

#1 楼

XPrivacyLua是Xposed框架的模块,可以完全满足您的需求。它是免费和开源的。在有根设备上运行。它是XPrivacy的后继产品。

从此处安装Xposed:
https://forum.xda-developers.com/showthread.php?t=3034811

然后,您可以通过Xposed Manager应用程序从Xposed存储库下载XPrivacyLua模块,或从此处手动下载:

https://repo.xposed.info/module/eu.faircode.xlua

来源:

https://github.com/M66B/XPrivacyLua


如果您运行的是Android 5或更低版本,则可以使用旧版XPrivacy模块。

评论

很好的工具。正是我想要的。

–丹尼斯·尼古拉连科
15年1月8日在15:07

#2 楼

Whisper Systems推出了具有此确切功能的自定义ROM:http://www.whispersys.com/permissions.html。正如DarthNoodles所提到的,它必须在系统级别而不是应用程序级别完成,这是在WhisperCore中实现的方式。当前版本无法阻止Android上所有可用的权限,但它们正在努力支持更多权限。

评论

购买后才可以使用源代码...

–丹尼斯·尼古拉连科
2011-09-24 13:04
链接已死。他们是否将名称更改为OpenWhisper Systems并启动Signal?还是那个不同的团体?

–YetAnotherRandomUser
18年10月2日在19:50
@YetAnotherRandomUser是的,差不多是同一组:signal.org/blog/welcome。 Whisper Systems被Twitter收购。不久之后,Whisper Systems的创始人之一Moxie离开了Twitter,将一些旧的Whisper Systems应用程序分解为一个开源项目,该项目成为了Signal。

–加里·派克(Gary Peck)
18-10-2在20:27

#3 楼

CyanogenMod 7.1完全具有此功能,但是如果应用程序访问API,则不会伪造数据,只会失败。伪造IMEI的提议被拒绝。伪造其他数据(例如联系人)目前正在讨论中。

评论

史蒂夫·康迪克(Steve Kondik)解释了为何在本博文中拒绝它:plus.google.com/+SteveKondik/posts/iLrvqH8tbce摘录:“我拒绝了这些补丁程序,因为它们为应用程序创建了敌对的环境,这不是我希望CM走向的方向。(...)不想让其应用程序在不可预测的环境中运行的开发人员(...)我认为这些修补程序仅是更安全的解决方案,并不能真正解决问题。为什么要运行恶意应用程序无论如何?”

–StéphaneGourichon
2014年8月21日在18:25


#4 楼

不是绝对解决您的问题的方法,但是android市场上有一款可以满足您需求的应用程序。它还需要更好地了解权限以及已生根的设备。

Permissions Denied是一款应用程序,可让您有效地控制通过市场或其他方式安装到手机上的应用程序的权限。资源。另请注意,拒绝应用程序所请求的权限可能会导致应用程序强制关闭。 (因此要求您对如何使用它有更好的了解)。

注意:此应用需要根访问权限。这个应用程式无法在所有装置上运作。

评论

CyanogenMod在这方面仍然更好,该应用程序目前很不稳定。

–丹尼斯·尼古拉连科
2011年7月30日在23:43

#5 楼

这不是沙盒应用程序,但如果您还没有听说过,也许对您也很有趣。

一些科学家开始了Taintdroid项目。 Android的实时隐私监控

#6 楼

MockDroid是另一个具有数据伪造功能的学术固件。

#7 楼

有一个出色的工具PDroid。它既是一个应用程序,又是一组ROM补丁程序,可用于拦截和伪造权限请求。这是PDroid Jellybean ROM前叉补丁

#8 楼

这是解决潜在问题和长期困扰我的合理方法。

但是,您必须记住,适用于安全应用程序的任何解决方案也将适用于恶意软件应用程序。如果安全应用程序可以阻止网络访问,那么恶意软件应用程序也可以阻止它,例如,阻止安全应用程序更新数据文件。

它需要在系统级别完成,而不是在另一个应用程序上完成。 。

我的想法请看这里。

评论

如果您授予了这些工具的权限,则需要对电话具有root访问权限,并且应该对该工具具有最终的信任,例如“权限被拒绝”。如果您授予对来自市场的随机应用程序的root访问权限,那么您就只会打自己的脚:)

–丹尼斯·尼古拉连科
2011年8月3日,下午3:16

#9 楼

LBE Privacy Guard似乎是一个非常有前途的解决方案,它具有交互式功能,可以即时阻止或允许应用程序活动。

#10 楼

XDA开发人员可以使用LBE的中文版本的翻译版本,并且在Jelly Bean上可以很好地工作。显然,中文版本仍在积极开发中。

http://forum.xda-developers.com/showthread.php?t=1422479

#11 楼

关于这个问题正在进行研究。完全按照我的建议为某些隐私敏感的API实现了尚未发布的概念证明。隐私管理器称为TISSA,是驯服信息窃取智能手机应用程序的简称。

#12 楼

有一个“隐私阻止程序”(付费)和“隐私检查器”(免费)应用程序。 Privacy Blocker对敏感API调用的应用程序进行了静态分析,并将这些调用重写为存根(stub)的调用,这些存根返回了伪数据。结果,生成并安装了带有重写应用程序的新.apk。 Privacy Inspector是一个仅报告敏感API调用使用情况的应用。

#13 楼

棉花糖(Android 6)具有新的权限模型。现在,可以将针对棉花糖的应用程序在运行时限制为较少的权限,并且这些应用程序应正常运行,而不是早期Android版本的“全有”权限模型。在棉花糖中,这是标准操作系统的功能,不需要生根或其他应用程序。

评论

嗨,马特姆!如果您在这里深入了解,那就太好了。例如,新的权限模型没有对Internet权限进行任何控制。如有可能,请使用屏幕截图以更好的方式让我们了解您在说什么。

–Firelord♦
15年10月31日在8:24

#14 楼

我相当确定您所寻找的工具尚不存在。但是你的想法很棒。一点点;

ofc;应用程序可以自由地读写自己的应用程序目录

,从而获得假的读取访问权限:对于每种可能的读取操作(并且有很多应用程序可以尝试读取),应生成默认响应;很多工作但可行

;提供伪造的写访问权限要困难得多;如果它使用SD卡存储大的临时文件怎么办?就像位图一样在无根电话上;只有地方应用程式可以写入的是SD卡;并使用内容提供商(用于联系人和日历之类的东西)。应用程序设计者不会期望写入数据失败。所以应用可能会崩溃。

好东西是,可能发生的最糟糕的事情是应用可能崩溃。

评论

为什么要投反对票?在2010年12月,这些工具还不存在。

–丹尼斯·尼古拉连科
2011年8月3日在20:10