W pliku manifestu Androida należy dla tagu dostawcy treści ustawić atrybut grandUriPermissions na false . W ten sposób będziesz chronić wszystkie dane swojego dostawcy treści przed dostępem. Następnie wewnątrz <provider> </provider> należy dodać tag <grant-uri-permission> . O jego atrybucie możesz przeczytać tutaj. (Twój przypadek, jak sądzę, to atrybut pathPrefix)
