Tôi đang viết 1) một ứng dụng lưu trữ tên người dùng và mật khẩu trong Trình quản lý tài khoản và 2) một ứng dụng Dịch vụ nền riêng biệt truy cập các thông tin đăng nhập đó để đăng nhập vào máy chủ của tôi, v.v. có thể gọi AccountManager.getPassword (tài khoản) từ Dịch vụ (ứng dụng 2) để truy cập loại tài khoản tôi đã thêm vào Trình quản lý tài khoản bằng ứng dụng khác (ứng dụng 1).Điều gì bảo vệ các mật khẩu Android AccountManager không bị đọc bởi các ứng dụng khác?
Do đó, tôi bắt đầu tự hỏi điều gì sẽ dừng ứng dụng độc hại tùy ý từ 1) bao gồm các trường trong tệp kê khai để có quyền truy cập Quản lý tài khoản và sau đó 2) từ lặp qua tất cả các tài khoản của một loại cụ thể và gọi mAccountManger.getPassword (tài khoản) trên chúng. Tôi biết rằng trong quá trình cài đặt, một hộp thoại bật lên với tất cả các quyền mà ứng dụng yêu cầu sử dụng, nhưng tôi không nghĩ rằng chúng tôi có thể dựa vào người dùng trung bình để từ chối ứng dụng vì ứng dụng yêu cầu quyền đáng ngờ.
Có cách nào để ngăn getPassword được gọi trên một loại tài khoản không? Có cách nào để bảo vệ tài khoản trong Trình quản lý tài khoản khỏi các ứng dụng đã tự cung cấp nhiều quyền tài khoản không?