1.應用簽名未校驗風險:檢測 App 程序啟動時是否校驗簽名證書。
2.應用數據任意備份風險
Android 2.1 以上的系統可為 App 提供應用程序數據的備份和恢復功能,該 由 AndroidMainfest.xml 文件中的 allowBackup 屬性值控制,其默認值為 true。當該屬性沒有顯式設置為 false 時,攻擊者可通過 adb backup 和 adb restore 對 App 的應用數據進行備份和恢復,從而可能獲取明文存儲的用戶敏 感信息,如用戶的密碼、證件號、手機號、交易密碼、身份令牌、服務器通 信記錄等。利用此類信息攻擊者可偽造用戶身份,盜取用戶賬戶資產,或者 直接對服務器發起攻擊。
設置:application中android:allowBackup=false
3.Java 層動態調試風險
客戶端軟件 AndroidManifest.xml 中的調試標記如果開啟,可被 Java 調試工 具例如 jdb 進行調試,獲取和篡改用戶敏感信息,甚至分析並且修改代碼實 現的業務邏輯,例如竊取用戶密碼,繞過驗證碼防護等。
設置:application中android:debuggable="false"
若eclipse中出現Avoid hardcoding the debug mode; leaving it out allows debug and release builds to automatically assign
請在Properties中設置 相關鏈接 http://sodino.com/2015/01/13/avoid-hardcoding-the-debug-mode/
4.組件導出風險
相關文章鏈接 http://blog.csdn.net/u013107656/article/details/51890800
以上鏈接無效 可看:http://yelinsen.iteye.com/blog/977683
設置:receiver或service中android:exported="false"
5.全局可讀寫的內部文件漏洞
解決方式:
- 1.使用MODE_PRIVATE模式創建內部存儲文件
- 2.加密存儲敏感數據
- 3.避免在文件中存儲明文和敏感信息