在X项目的截屏反馈SDK中com.meituan.android.screenshot.ScreenShotActivity该组件导出，未正确处理捕获异常，导致竞争对手或恶意应用可以任意crash该APP。

以下代码可以任意打开截屏反馈的Window

public void onClick(View v) {
    Intent i = new Intent();
    i.setClassName("com.meituan.qcs.c.android", "com.meituan.android.screenshot.ScreenShotFloatWindowActivity");
    i.putExtra("screen_shot_img_uri", "suntaiwang");
    startActivity(i);
}

防护措施

1. 私有的Activity、Service等组件相对安全，需要设置exported为false。
2. 公开的组件，需要谨慎处理接收到的数据：对接收到的任何数据做try-catch处理，对于不符合预期的数据做异常处理，异常处理包括不限于空指针、类型转换、数据越界、类未定义、序列化异常等。返回的数据中不应该包含敏感信息。

android:exported

android:exported 是Android中的四大组件 Activity，Service，Provider，Receiver 四大组件中都有的一个属性。

主要作用是：是否支持其它应用调用当前组件。

默认值：如果包含有intent-filter 默认值为false; 没有intent-filter默认值为true。true表示当前的组件可以被另一个Application的组件启动，false表示不允许。但是设置了false的话，该组件只会被当前的Application或者拥有相同user ID的Application的组件启动。

Permission Denial

可以成功startActivity而不会得到Permission Denial的情况

java.lang.SecurityException: Permission Denial: starting Intent { cmp=com.meituan.qcs.c.android/.ui.user.UserInfoActivity (has extras) } from ProcessRecord{9e7e853 21880:com.example.home.checkbug/u0a239} (pid=21880, uid=10239) not exported from uid 10238

1. 同一个application下
2. Uid相同
3. permission匹配
4. 目标Activity的属性Android:exported=”true”
5. 目标Activity具有相应的IntentFilter，存在Action动作或其他过滤器并且没有设置exported=false
6. 启动者的Pid是一个System Server的Pid
7. 启动者的Uid是一个System Uid（Android规定android.system.uid=1000，具有该Uid的application，我们称之为获得Root权限）

注意：满足一条，一般即可（与其他几条不发生强制设置冲突），否则将会得到Permission Denial的Exception而导致Force Close。

如果供应方需要将某些Activity、Service等组件共享出去，有三种方法。

1. 完全暴露，也就是android:exported=”true”的作用。
2. 权限提示暴露，在声明文件中设置android:permission=”xxx.xxx.xx”，启动方必须在application的Manufest中usepermission xxx.xxx.xx才能访问。
3. 私有暴露，假如说一个公司做了两个产品，只想这两个产品之间可互相调用，那么这个时候就必须使用shareUserID将两个软件的Uid强制设置为一样的。这种情况下必须使用具有该公司签名的签名文档才能，如果使用一个系统自带软件的ShareUID，例如Contact，那么无须第三方签名。

供应方和使用方都需要添加以下代码，sharedUserId的值要相同。用户ID在应用程序安装到设备中时被分配，并且在这个设备中保持它的永久性。一个mainfest只能有一个Shareuserid标签。

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.home.shareuserid"
    android:sharedUserId="com.example.home">
</manifest>

如果没有使用方没有添加，而是直接去访问供应方的组件信息、data目录等，会报Permission denied。

//通过给定的包名参数，拿到对应应用的context
//Context.CONTEXT_INCLUDE_CODE：这个标志是在我们需要执行插件中的某段代码需要加上的值，可以通过反射的方式调用其他app的代码
//CONTEXT_IGNORE_SECURITY：这个标志是必须的，是忽视安全性，如果没有这个值的话，那么我们访问什么都是失败的。
Context otherAppContext = createPackageContext("com.example.home.checkbug", CONTEXT_IGNORE_SECURITY);
SharedPreferences sp = otherAppContext.getSharedPreferences("sp", MODE_PRIVATE);
String text = sp.getString("key", "meiyou");

com.example.home.shareuserid W/ContextImpl: Failed to ensure /data/user/0/com.example.home.checkbug/shared_prefs: mkdir failed: EACCES (Permission denied)

Uid机制

Pid是进程ID，Uid是用户ID，只是Android和计算机不一样，计算机每个用户都具有一个Uid，哪个用户start的程序，这个程序的Uid就是那个用户，而Android中每个程序都有一个Uid，默认情况下，Android会给每个程序分配一个普通级别互不相同的Uid，如果要互相调用，只能是Uid相同才行，这就使得共享数据具有了一定安全性，每个软件之间是不能随意获得数据的。而同一个application只有一个Uid，所以application下的Activity之间不存在访问权限的问题。

如果一个activity是又system process跑出来的，那么它就可以横行霸道，任意权限，只是无法开发一个第三方application具有系统的Pid（系统Pid不固定），但是完全可以开发一个具有系统Uid的程序，对系统中的所有程序任意访问，只需再Manufest中声明shareUserId为android.uid.system即可，生成的文件也必须经过高权限签名才行，一般不具备这种审核条件的application，google不会提供给你这样的签名文件。当然你是在编译自己的系统的话，想把它作成系统软件程序，只需在Android.mk中声明Certificate:platform则可以了，即采用系统签名。这个系统Uid的获得过程，我们把它叫做获得Root权限的过程。例如很多第三方系统管理软件有了Root权限的软件，他就可以系统有任意访问的权限。但是它的Root签名则需要和编译的系统一致，例如官方的系统得用官方的签名文件，CM的系统就得用CM的签名文件。

android.uid.system是系统软件的sharedUserId，将自己的应用的sharedUserId设置为这个，是不能进行安装的，因为系统在安装的时候会验证是否具有系统的签名。

Android中对uid的定义是Root最高，其次是system，最低的是app。

系统的安全机制通过给每个用户分配单独的uid和pid来实现，Android系统中pid代表进程ID，这个是有系统在程序运行时分配的，这一点可以防止地址空间的数据共享，增强内存空间的安全性。对于外部则用到了uid进行封锁.