Android app安全问题设置

1.应用数据任意备份风险

Android 2.1 以上的系统可为 App 提供应用程序数据的备份和恢复功能，该 由 AndroidMainfest.xml 文件中的 allowBackup 属性值控制，其默认值为 true。当该属性没有显式设置为 false 时,攻击者可通过 adb backup 和 adb restore 对 App 的应用数据进行备份和恢复,从而可能获取明文存储的用户敏 感信息，如用户的密码、证件号、手机号、交易密码、身份令牌、服务器通 信记录等。利用此类信息攻击者可伪造用户身份，盗取用户账户资产，或者 直接对服务器发起攻击。

设置:application中android:allowBackup=false

2.Java 层动态调试风险

客户端软件 AndroidManifest.xml 中的调试标记如果开启，可被 Java 调试工 具例如 jdb 进行调试，获取和篡改用户敏感信息，甚至分析并且修改代码实 现的业务逻辑，例如窃取用户密码，绕过验证码防护等。

设置：application中android:debuggable="false"

若eclipse中出现Avoid hardcoding the debug mode; leaving it out allows debug and release builds to automatically assign

请在Properties中设置 相关链接 http://sodino.com/2015/01/13/avoid-hardcoding-the-debug-mode/

image

3.组件导出风险

相关文章链接 http://blog.csdn.net/u013107656/article/details/51890800

以上链接无效 可看：http://yelinsen.iteye.com/blog/977683

设置：receiver或service中android:exported="false"

4. 相关文章
   如何保障Android应用安全
   Android app security安全问题总结
   迪菲.赫尔曼(Diffie–Hellman)密钥交换算法
   密钥交换算法DH（Java实现）
   中间人攻击