Android開發(fā)安全注意事項(xiàng)

官方指南

官方文檔:https://developer.android.com/training/articles/security-tips?hl=zh-cn

代碼混淆,APK加殼

敏感數(shù)據(jù)加密

1.運(yùn)行時(shí)數(shù)據(jù)(例如用戶token)需要使用隨機(jī)秘鑰加密。

  • 隨機(jī)秘鑰生成:需要為秘鑰生成器提供可靠的初始化參數(shù)(安全隨機(jī)數(shù)),避免離線攻擊。
  • 隨機(jī)秘鑰應(yīng)該存放于Android KeyStore,最大限度防止被非法讀取。官方文檔:https://developer.android.com/training/articles/keystore?hl=zh-CN

2.靜態(tài)數(shù)據(jù)(例如 API key / secret )需要用固定秘鑰加密。

  • 固定秘鑰存放:so庫中。
  • 防止非法讀取:在 so 庫的 C 代碼里 JNI_OnLoad() 方法對 APK 簽名進(jìn)行驗(yàn)證,如果簽名不對,直接 crash。

詳細(xì)參考:https://www.diycode.cc/topics/501

網(wǎng)絡(luò)安全

  1. https中間人攻擊
  • 應(yīng)用中內(nèi)置證書并進(jìn)行校驗(yàn)
  • 證書鎖定
  1. WebView安全:

3.流量挾持

  • 使用HttpDNS

參考資料

https://developer.android.com/training/articles/security-tips?hl=zh-cn
https://www.diycode.cc/topics/501
https://zhuanlan.zhihu.com/p/21787366

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容