在Android Intent中保护额外数据

从Android 4.1.1开始，为了防止第三方应用程序使用RecentTaskInfo读取额外信息，添加了一项额外的权限。该权限（android.Manifest.permission.GET_DETAILED_TASKS）只能由系统获取。如果没有该权限，则在通过RecentTaskInfo返回baseIntent之前，额外信息将被交换出去。

来自提交的注释http://androidxref.com/4.2.2_r1/history/frameworks/base/services/java/com/android/server/am/ActivityManagerService.java#8238e717df4bc5eebf15f97172d68af3599a95bb：

添加新的签名级别权限以获取任务详情。 第三方应用现在无法访问与任务相关联的意图的附加信息，以防止其中的私人数据泄漏。 Change-Id：I95af9e181ac42557bc8b981807e7ddd266a88d0e 因此，似乎正在努力使意图额外的传输更安全以传输敏感信息。我不知道这些额外信息是否存在其他泄漏方式，但至少从JB开始，这些额外信息看起来是安全的。

这个Intent携带了Activity所需的一些私有数据，存储在extras中。为什么要将标识符传递给extras中的私有数据？因为只有Activity才能将这些标识符转换成私有数据（例如数据库查询）。
我们发现，通过使用getRecentTasks()中的RecentTaskInfo，任何具有GET_TASK权限的应用程序都可以读取这些额外数据。
是的，我在近两年前就写过博客，其他人可能更早之前就已经写过了。
所有启动其他组件的请求都通过操作系统进程进行，因此数据始终“泄漏”到操作系统中。
根据您对Intent的处理方式，您可能会以其他方式泄漏它（例如，将Intent本身作为Parcelable传递给其他应用程序）。
如何确保extra中的数据不可被其他应用程序读取？
您无法做到这一点。再次强调，不要将私有数据放在activity extras中，而是使用标识符来获取该私有数据。

你拥有私有存储空间，只有你的应用程序能够读取。在非root设备上，你存储在那里的信息仅对你的应用程序可访问。
你可以使用SharedPreference来存储你的数据 - 数据存储在你的应用程序指定的私有存储中。
或者，你可以直接使用私有存储，并像这样将任意文件传输到其中：

FileOutputStream fos;
try {
    fos = openFileOutput (FILENAME, Context.MODE_PRIVATE);
    fos.write (string.getBytes ());
    fos.close ();
} catch (FileNotFoundException e) {
    e.printStackTrace();
} catch (IOException e) {
    e.printStackTrace();
}