由于应用开发者没有对传入的数据做异常判断，恶意应用可以通过传入畸形数据，例如向getXXXExtra()传入自定义的序列化类对象，会导致应用本地拒绝服务。 对getextra方法加上try catch 捕获异常，防止应用拒绝服务。

webview中开启JavaScript、Plugin插件，文件访问等功能，可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。 1）在android默认关闭了javascript，如果不是必要，请不要打开javascript 2）禁用webview插件功能，如果在项目中需要设置一个特定的插件，请...

在新的API版本下，请使用 startActivityForResult 方法来代替旧的startSubActivity方法。

存在内容被替换的风险，openFileOutput禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。 1. 避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的内部存储(Internal Storage)文...

HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER，因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书，详细修复方案请参照Google官方关于SSL的安全建议：https://developer.android.com/trai...