Android常见安全风险点之本地存储密钥

存在被攻击者利用并通过密钥构造伪数据的风险。

可以通过网上的第三方加固平台来实现,如爱加密、阿里聚安全加密等,同时建议在进行加解密等敏感操作的时候,将算法写到SO扩展库中,这样处理会更安全。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • 由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,例如向getXXXExtra()传入自定义的序列化类对象,会导致应用本地拒绝服务。 对getextra方法加上try catch 捕获异常,防止应用拒绝服务。
  • webview中开启JavaScript、Plugin插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。 1)在android默认关闭了javascript,如果不是必要,请不要打开javascript 2)禁用webview插件功能,如果在项目中需要设置一个特定的插件,请...
  • 在新的API版本下,请使用 startActivityForResult 方法来代替旧的startSubActivity方法。
  • 存在内容被替换的风险,openFileOutput禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。 1. 避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的内部存储(Internal Storage)文...
  • HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android.com/trai...
微信扫一扫即可带走我!