我正在写1)在AccountManager中存储用户名和密码的应用程序,以及2)一个单独的后台服务应用程序,它访问这些凭据以登录我的服务器等.玩弄这个,我发现我能够从服务(app 2)调用AccountManager.getPassword(account)来访问我使用其他应用程序(app 1)添加到AccountManager的帐户类型.
由于这个原因,我开始想知道什么阻止任意恶意应用从1)包括清单中的字段进行帐户管理访问,然后2)迭代通过特定类型的所有帐户并调用mAccountManger.getPassword (帐户)对他们.我知道在安装过程中会弹出一个对话框请求使用的所有权限的对话框,但我认为我们不能指望普通用户拒绝某个应用,因为它会请求可疑权限.
有没有办法阻止在帐户类型上调用getPassword?有没有办法保护AccountManager中的帐户免受那些给自己很多帐户权限的应用程序的影响?