sdcard存储的信息可以被其他应用任意读取，如果有敏感信息会造成信息被恶意应用获取风险。 通过内部存储存文件openFileOutput(filename, Context.MODE_PRIVATE)或者对于敏感的数据加密后存储。

由于应用开发者没有对传入的数据做异常判断，恶意应用可以通过传入畸形数据，例如向getXXXExtra()传入自定义的序列化类对象，会导致应用本地拒绝服务。 对getextra方法加上try catch 捕获异常，防止应用拒绝服务。

Android4.1之前的版本中，sdcard跟路径通过“/sdcard”或者“/mnt/sdcard”来表示，而在Jelly Bean系统中修改为了“/storage/sdcard0”，以后可能还会有多个sdcard的情况。目前为了保持和之前代码的兼容，不要硬 …

隐式intent没有明确指明哪些接收方有权限接收，恶意程序指定action标识后，可以获取intent内容，导致数据泄露，intent劫持，仿冒，钓鱼应用等风险。 使用Intent.setPackage、Intent.setComponent、Intent.s …

使用Webview时需要关闭webview的自动保存密码功能,防止用户密码被webview明文存储。 设置webView.getSettings().setSavePassword(false)即可。