I fornitori di contenuti esportati possono fornire accesso a dati potenzialmente sensibili

Question

Sto utilizzando ContentProvider nella mia applicazione Android per condividere il database tra l'applicazione. Per condividere il database ho bisogno di aggiungere l'accesso provider nel AndroidManifest.xml come la seguente:

<provider 
android:name="Contentprovider" 
android:authorities="umb.con.apps.vid" /> 

ho aggiunto e implementato con successo, ma il messaggio di avviso che mostra nel tag <provider/> come questo "fornitori di contenuti esportati possono fornire l'accesso a potenzialmente sensibili dati". In futuro causerà problemi di sicurezza?

Answer 1

Se si desidera solo il fornitore di contenuti a cui accedere internamente da dentro la vostra applicazione, è sufficiente aggiungere

android:exported="false" 

nel nodo nel manifesto.

Dal doc:

falso: Il provider non è disponibile per altre applicazioni. Imposta android: exported = "false" per limitare l'accesso al provider alle tue applicazioni. Solo le applicazioni che hanno lo stesso ID utente (UID) del provider potranno accedervi.

Se, d'altra parte, si vuole veramente di esporre i dati per altre applicazioni ma hai anche i dati sensibili nel vostro storage dei dati, si ricordi che è possibile avere più di un fornitore di contenuti e quindi esporre solo quella "pubblica".

Answer 2

Anche se si è certi che si desidera consentire l'accesso esterno al vostro fornitore di contenuti e il silenzio l'avviso aggiungere tools:ignore="ExportedContentProvider"

esempio

<provider 
tools:ignore="ExportedContentProvider" 
android:exported="true" 
android:name="Contentprovider" 
android:authorities="umb.con.apps.vid" />