共计 455 个字符,预计需要花费 2 分钟才能阅读完成。
(前文故事 中, 有人提到了 Target SDK)
然后我在官方 Android 文档的 API 29 的变更 中看到这么一句话:
移除了应用主目录的执行权限
从可写应用的主目录执行文件的行为违反了 W^X 安全机制。
应用应仅加载在应用的 APK 文件中嵌入的二进制代码。
我不懂 Android 开发, 上述文档能否理解为:
Target SDK 29 之后的应用, 其所有可会涉及到的二进制代码, 必须全打包进 APK 文件, 不允许从远程服务器下载二进制代码 (包括 Java 的 dex, jar 文件, C/C++ 的 so 文件) 然后动态加载并运行?
不知道这个理解是否正确.
像之前拼多多那种, 或其它国产流氓应用, 他们会使用一种病毒木马才会用的黑科技, 就是将部分的流氓的代码, 并未打包进 APK, 而是等待程序运行后, 从服务器远程下载二进制代码并运行. 按上述 Android 文档的描述, 这种黑科技在高版本 Android 下被废掉了吗?
就是说如果我需要从第三方网站下载没在 Play 商店上架的应用, 只要专门寻找 Target SDK 29 版本后的 (Target 版本越高越好), 就相对更安全一些呢?
正文完
