Android常见安全风险点之随机数加密不安全使用漏洞

使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数,会造成生成的随机数不随机。

建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG。

相关推荐:
webview组件的接口函数addJavascriptInterface存在远程代码执行漏洞,远程攻击者利用此漏洞能实现本地java和js的交互,可以对Android移动终端进行网页挂马从而控制受影响设备。 确保只在访问可信页面数据时才使用add …
隐式intent没有明确指明哪些接收方有权限接收,恶意程序指定action标识后,可以获取intent内容,导致数据泄露,intent劫持,仿冒,钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.setClassNa …
存在被攻击者利用并通过密钥构造伪数据的风险。 可以通过网上的第三方加固平台来实现,如爱加密、阿里聚安全加密等,同时建议在进行加解密等敏感操作的时候,将算法写到SO扩展库中,这样处理会更安全。 …
Swap分区,即交换区,Swap空间的作用可简单描述为:当系统的物理内存不够用的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序,这 …
存在内容被替换的风险,openFileOutput禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。 1. 避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的内部存储(Internal Storage)文件,如果需要 …
拿起手机扫一扫即可带走我!