1.应用签名未校验风险:检测 App 程序启动时是否校验签名证书。
2.应用数据任意备份风险
Android 2.1 以上的系统可为 App 提供应用程序数据的备份和恢复功能,该 由 AndroidMainfest.xml 文件中的
allowBackup 属性值控制,其默认值为 true。当该属性没有显式设置为 false 时,攻击者可通过 adb backup 和adb restore 对 App 的应用数据进行备份和恢复,从而可能获取明文存储的用户敏感信息,如用户的密码、证件号、手机号、交易密码、身份令牌、服务器通 信记录等。利用此类信息攻击者可伪造用户身份,盗取用户账户资产,或者直接对服务器发起攻击。
设置:application中android:allowBackup=false
3.Java 层动态调试风险
客户端软件 AndroidManifest.xml 中的调试标记如果开启,可被 Java 调试工 具例如 jdb 进行调试,获取和篡改用户敏感信息,甚至分析并且修改代码实 现的业务逻辑,例如窃取用户密码,绕过验证码防护等。
设置:application中android:debuggable="false"
4.组件导出风险
相关文章链接http://blog.csdn.net/u013107656/article/details/51890800
以上链接无效 可看:http://yelinsen.iteye.com/blog/977683
设置:receiver或service、activity中android:exported="false"
5.全局可读写的内部文件漏洞
解决方式:
1.使用MODE_PRIVATE模式创建内部存储文件
2.加密存储敏感数据
3.避免在文件中存储明文和敏感信息
网友评论