petite question sur les permissions

[androuest]

Bonjour à tous,

Voilà une petite question / confirmation sur les appels d'INTENT ou AIDL.

Supposons une appli qui a les permissions a b c.

Si celle-ci veut appeler une une action sur une autre appli via les intent ou via AIDL, est-ce qu'il faut que cette appli appelée ait des permissions parmi a b c ?

En résumé : les permissions des fonctions de l'appli applée doivent toujours être comprises dans les permissions de l'appelant.

C'est vrai, non ?

[Pierre87]

ce n'est pas nécessaire je pense...

[androuest]

pas nécessaire...

(là je suppose que j'appel bêtement une 'méthode' INTENT ou AIDL qui a des permissions qui ne font pas partie des permissions de mon appli).

Mais tu as raison, en effet, un apk peut par exemple, lancer un browser sans avoir la permission INTERNET. Par contre via une webview, il la faut apparemment.

Remarque sur la référence Google : http://developer.and...y/security.html

A central design point of the Android security architecture is that no application, by default, has permission to perform any operations that would adversely impact other applications, the operating system, or the user. This includes reading or writing the user's private data (such as contacts or e-mails), reading or writing another application's files, performing network access, keeping the device awake, etc.

J'essaie de comprendre les règles.

[Alocaly]

Quand on y réflechit bien, c'est à la limite du trou de sécurité, ca...

Imaginons que je fasse une appli qui récupère plein d'infos sensibles ( par exemple, vos contats ).

Comme il n'y a pas d'autorisation, Internet, on fait confiance.

Et BOUM, quand on appuie sur le bouton 'help', ca appelle l'aide en ligne, en passant discrétement tous les contacts dans l'URL ...

C'est possible ?

Emmanuel / Alocaly

[Pierre87]

j'avoue que rien ne t'empêche de faire appel au navigateur avec une URL contenant des infos...

ou même de lancer le téléchargement d'un fichier :P