将Android App上线前送检,安全检测漏洞修复(目录仅对ionic/cordova类混合APP有效)
低风险
1. BroadcastReceiver组件暴露 导出的广播可以导致数据泄漏或者是越权。
如果组件不需要与其他app共享数据或交互,请将AndroidManifest.xml 配置文件中设置该组件为exported = “False”。如果组件需要与其他app共享数据或交互, 请对组件进行权限控制和参数校验。
中风险
1.android:debuggable 属性的设置可能会引起 被动态调试的风险。
在AndroidMainifest.xml中最好不设置android:debuggable属性置,而是由打包方式来决定其值。
如果设置了 android:debuggable=”true” 那么在正式打包时 把它设置成false;但是Android Studio提示需要设置上 tools:ignore="HardcodedDebugMode"
2.android:allowBackup 属性的设置可能会引起用数据被任意备份的风险
开发者务必将 allowBackup 标志值设置为 false 来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。
<application
android:allowBackup="false"
android:debuggable="false">
......
</application>
高风险