小米工程师在向 AOSP (Android Open Source Project) 提交的一个 commit 中指出,应禁止通过 shell 获取已安装的 APK,理由是某些 APK 可能包含私有资源或内容,因此不应该被允许直接从系统中拉取。
从 commit 的投票情况来看,只有作者自己投了一票赞成票,其余两名参与投票的工程师均是投反对票。所以目前该 commit 已被标记为「Abandoned」状态,意味着不能被合并到 AOSP。
投反对票的工程师认为,小米通过修改权限并非保护 APK 提供的 IP(知识产权)或服务的首选方案。即使禁用了 shell 这个 CL 工具,也还有多种方法可以获得 APK。而且 APK 本身也不是私密文件,如果 APK 包含需要保密的内容,应该通过其他方式——如 DRM(数字版权管理)进行保护。
这名工程师还表示,小米这个 commit 属于其内部产品的需求,而不是一个所有人都会(应该)同意的全平台政策。如果小米需要这样做,应该在特定设备中进行。
另一名投反对票的工程师则直言:“与其提交损害上游的东西,不如直接在自己的 fork 分支内折腾。”
对于多名其他开发者的评论,小米工程师也进行了回复,他认为如果一个 apk 可以通过 'adb shell' 命令被拉取出来,那么就可以被反编译,这对 apk 会有一些安全风险。所以,他认为应该尽可能地确保数据分区的数据安全。
猜你喜欢:暂无回复。