Seguridad en aplicaciones Android: Custom permissions
La plataforma Android dispone de una serie de premisos por defecto que se utilizan para asegurar los servicios del sistema y componentes de aplicaciones.
Esto normalmente suele ser suficiente protección en la mayoría de casos, pero a menudo necesitamos compartir componentes entre aplicaciones y es aquí donde entra la falla de seguridad, puesto que tendremos expuestas nuestras aplicaciones.
Para suplirlo podemos generar nuestros propios permisos, que evitaran que cualquiera puede acceder a nuestra aplicación.
Primero de todo crearemos el label en strings.xml:
<string name="custom_permission_label">Custom Permission</string>.
Añadimos el permiso a nuestra aplicación en el AndroidManifest.xml:
<permission android:name="android.permission.CUSTOM_PERMISSION" android:protectionLevel="normal" android:description="My custom permission" android:label="@string/custom_permission_label">
Donde la etiqueta android:protectionLevel puede tener los siguientes valores:
- normal: Este permiso se usa para definir accesos no-peligrosos.
- dangerous: Se utiliza para definir permisos que exponen al usuarios en riesgo fiscal y legal.
- signature: Garantiza autonomía a aplicaciones que está firmadas con la misma key que la aplicación que lo define.
- signatureOrSystem: Este permiso está definido para cualquier aplicaciones que forme parte del sistema o está firmada con la misma key que la aplicación que lo define.
Si solo queremos compartir nuestros componentes entre aplicaciones que nosotros mismos hemos desarrollado, usaremos la etiqueta signature.
Y para hacer uso de dicho permiso en cualquier componente podremos hacerlo como como en el resto de los permisos:
<component... android:permission="android.permission.CUSTOM_PERMISSION"> </component> Donde component puede ser un Activity, Content Provider, Service... Más información: Para ver más a fondo la información sobre los permisos visitar la documentación.