Android 安全问题

Android安全问题主要有：终端漏洞、应用重打包、应用仿冒

终端漏洞

1. 组件安全：四大组件 + WebView

Activity：Activity 权限为 public，Intent 携带敏感信息，android:exported="true"，Activity 被劫持
被劫持解决方案：
禁止截屏
在登录等 Activity 的 onPause 方法中判断前台的Activity是否属于本应用或者系统应用，若有风险，则提示用户，并覆盖上正常的 Activity
Service：
Service 权限为 public，对接收到的数据不验证，不判断是否为内部应用调用
空指针导致拒绝服务，类型转换异常导致拒绝服务
BroadCastReceiver 和 Content Provider：
权限为 public
android:exported="true"
WebView：
远程执行漏洞，API 小于17时使用 addjavascriptinterface 导致的漏洞
钓鱼URL

2. 传输安全、网络安全

短信校验：
应在服务端校验
加密，密钥存储问题：
代码层应把密钥生成规则放隐秘些
密钥生成应根据用户 ID 和手机信息生成
第三方安全
代码混淆、加固
键盘攻击：
输入数据监听
键盘截屏监听
输入数据篡改
键盘攻击解决方案：
自绘键盘
对输入、存储、换算进行加密
使用第三方加固软键盘
外部调用APP
URL检验,Intent参数检验

应用重打包

防止二次打包：
代码、NDK 签名校验
热修复DEX文件校验

安全问题的预防技巧

反调试
反注入
物联网模块安全（如：蓝牙安全）
混淆日志
签名校验
android:allowBackup="false"
APP完整性校验
权限问题

常见的免费安全监测平台

360显微镜
腾讯金刚
爱加密
网易云盾