¿Hay alguna forma de mantener los metadatos en el manifiesto de Android como privados para el paquete?

Question

Quiero usar los metadatos en el manifiesto de Android para personalizar el comportamiento de un servicio.

<service 
    android:name=".SampleService" 
    android:exported="false"> 
    <meta-data 
     android:name="sampleName" 
     android:resource="@string/sampleValue" /> 
</service> 

Mi servicio es parte de una biblioteca, y es posible que algunos pueden poner los datos sensibles en estos atributos cuando usan mi servicio. ¿Estos atributos de metadatos son visibles para otros paquetes instalados en el teléfono a través de PackageManager incluso si el servicio no se exporta?

Answer 1

¿Estos atributos de metadatos son visibles para otros paquetes instalados en el teléfono a través de PackageManager, incluso si el servicio no se exporta?

Sí. Todo el contenido del manifiesto, y todo lo que se encuentre en sus recursos y recursos, es accesible para todas las aplicaciones en el dispositivo.

Answer 2

Después de hacer algunas pruebas confirmó que todos los campos de metadatos son visibles para todos los paquetes, como dijo CommonsWare. Sin embargo, también descubrí que puede mantener privado el contenido del valor, utilizando android: resource en lugar de android: value. Cuando usas android: resource, solo el ID entero del recurso es devuelto por el PackageManager, y por lo tanto, solo tu paquete tendrá acceso al valor real del recurso.

Actualización: Resulta que CommonsWare tenía razón de nuevo. Después de investigar más, todos los recursos y activos son públicamente visibles para TODOS los paquetes instalados en el dispositivo. No se requieren permisos.

PackageManager pm = getPackageManager(); 
PackageInfo info = pm.getPackageInfo("test.package", PackageManager.GET_META_DATA|PackageManager.GET_SERVICES); 
int resourceId = info.services[0].metaData.getInt("sampleName"); 
String resourceValue = pm.getResourcesForApplication("test.package").getString(resourceId);