Android中的Permission權限機制介紹

Android 通過在每台設備上實施了基於權限的安全策略來處理安全問題，采用權限來限制安裝應用程序的能力。當某個權限與某個操作和資源對象綁定在一起，我們必須獲得這個權限才能在對象上執行操作。由於Android設計本身就是為Android開發人員著想，所以一切權限許可權由用戶決定而不是手機制造商和平台提供商，但這不得不帶來了開發者濫用權限，黑客通過權限來進行惡意行為的風險，所以作為靜態分析一個app是否為惡意軟件的第一道關，獲取並了解Android Permission權限意義是十分重大的。

權限策略

Android 框架提供一套默認的權限存儲在android.anifest.permission 類中，同時也允許我們自己定義新的權限。我們在寫應用程序時聲明權限，程序安裝時新權限被引入系統。權限授權在應用程序被安裝時執行。當在設備上安裝應用程序時，程序將請求完成任務必需的權限集合。被請求的權限列單顯示在設備屏幕上以待用戶審查只有用戶同意授權後，程序才會被安裝，該應用程序獲得所有被請求的權限。所以，Android 系統實施的主要安全准則是應用程序只有得到權限許可後，才能執行可能會影響到系統其它部分的操作。

每個權限被定義成一個字符串，用來傳達權限以執行某個特殊的操作。所有權限可以分為兩個類別:一種是執行程序時被應用程序所請求的權限，一種是應用程序的組件之間通信時被其它組件請求的權限。開發者通過在AndroidManifest.xml文件中編寫權限標簽來定義以上兩種類別的權限策略。

權限聲明

應用程序可以用一個<permission>元素來聲明權限， 用於限制訪問特定組件或應用程序 在安裝程序時， 這個已聲明的權限被加入到系統中，具體可以參看：Android 自定義權限

權限請求

應用程序列出所有需要用來完成任務的權限，分別用 <use-permission>元素標識這些權限。在程序安裝時被請求，列表顯示在屏幕上用戶要麼同意安裝，要麼中止安裝。同意安裝則意味著授權所有被請求的權限。

獲取權限

獲取權限，是我們靜態分析某個app的第一關，通過知道app所具有的權限，我們一般能夠基本知道該app或許會有那些行為。

工具：目前已有多個工具可以靜態檢測Android app所具有的Permissions，這類工具有：aapt、apktool、androguard等等；