Android常见安全风险点之隐式广播风险

使用隐式intent进行广播会造成数据泄露、拒绝服务、钓鱼等安全问题。

使用Intent.setPackage 、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context,Receivered.class)中任一种方法明确指定目标接收方;进程内发送消息建议使用LocalBroadcastManager;或者使用sendBoardcast(Intent, receiverPermission)代替sendBoardcast(Intent)保证其他应用不能接收到该广播信息。

相关推荐:
sdcard存储的信息可以被其他应用任意读取,如果有敏感信息会造成信息被恶意应用获取风险。 通过内部存储存文件openFileOutput(filename, Context.MODE_PRIVATE)或者对于敏感的数据加密后存储。
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
这个漏洞是因为导出service,任何软件都可以调用它,包括攻击者编写的软件,可能产生恶意启动或者停止服务,应用会产生拒绝服务等问题。 如果它们只被同一个软件中的代码调用,将service属性改为android:ex …
使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数,会造成生成的随机数不随机。 建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG。
使用Webview时需要关闭webview的自动保存密码功能,防止用户密码被webview明文存储。 设置webView.getSettings().setSavePassword(false)即可。
拿起手机扫一扫即可带走我!