Activity，Service等组件有些是对外开放的（manifest.xml 中 export为true或定义的intent-filter的组件是可导出组件），当这些组件传递的参数未做校验时，这些参数可能导致APP 拒绝服务。 请严格校验输入参 …

隐式intent没有明确指明哪些接收方有权限接收，恶意程序指定action标识后，可以获取intent内容，导致数据泄露，intent劫持，仿冒，钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.s …

在新的API版本下，请使用 startActivityForResult 方法来代替旧的startSubActivity方法。

当系统辅助功能中的任意一项服务被开启后，所有由系统提供的WebView都会被加入两个JS objects，分别为是”accessibility” 和 “accessibilityTraversal”，如果应用使用了系统的WebView，并且设置了setJavaScr …

sdcard存储的信息可以被其他应用任意读取，如果有敏感信息会造成信息被恶意应用获取风险。 通过内部存储存文件openFileOutput(filename, Context.MODE_PRIVATE)或者对于敏感的数据加密后存储。