Aandroid日常开发中应该注意的安全问题

最新推荐文章于 2023-02-01 17:46:49 发布
最新推荐文章于 2023-02-01 17:46:49 发布
阅读量427 收藏
点赞数
分类专栏: 数据加密 java 客户端安全问题 文章标签: android android studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongxiaoou/article/details/104984021
版权

概述

在日常的Android开发中比较少注意一些细节的可能带来安全问题的地方,如果不是专业的机构来检测安全漏洞那么我们自己可能一直都不会注意到。
安全,永远是相对的。有的漏洞是一直存在的,但是你的App会不会被攻击是另一回事,取决于攻击之后带来的“产出”比,费了九牛二虎之力得不到高的收益那些黑客也不会搭理你。下面是一些开发中“顺手”就可以解决的问题,当然这里罗列的只是一小部分。

问题罗列

  • 应用数据备份问题
  • 四大组件的导出风险
  • RSA加密算法不安全使用漏洞

解决问题

应用数据备份问题

在androidManifest.xml中application标签下有一个allowBackup属性,默认为true 。当 allowBackup 标志为 true 时,用户即可通过 adb backup 和 adb restore 来进行对应用数据的备份和恢复。我们应该手动将其设置为false

四大组件的导出风险

android:exported 是Android中的四大组件 Activity,Service,ContentProvider,BroadcastReceiver 四大组件中都会有的一个属性。
作用是:是否支持其它应用调用当前组件。
默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。注意了如果包含有intent-filter那就要手动设置android:exported=false

RSA加密算法不安全使用漏洞

RSA算法是最为典型的非对称加密算法,也是当今应用范围最为广泛的非对称加密算法,也是第一个能用于数据加密也能用于数字签名的算法。
使用RSA加密算法时,应注意以下两点:

  • 密钥长度过短,会导致密钥被破解,通常小于512bit的密钥即存在破解的风险;
  • 加密算法没有使用正确的工作模式和填充方式,容易导致部分加密数据被破解或者遭到选择明文攻击(CPA)。

RSA加密算法的不安全使用,可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,中间人攻击等后果,造成用户敏感信息被窃取,甚至造成财产损失。

解决方法如下:
使用RSA加密算法时,密钥长度建议设置为2048bit,同时分别设置工作模式为ECB,填充模式为OAEPWithSHA256AndMGF1Padding。以下为修复代码示例:

1.KeyPairGenerator DemoKey=KeyPairGenerator.getInstance("RSA");
DemoKey.initialize(2048);
2.Cipher DemoCipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA256AndMGF1Padding");
DemoCipher.init(Cipher.ENCRYPT_MODE, keyPrivate);
gongxiaoou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Android开发需要注意安全问题
zbryant的博客
09-15 2942
什么是安全问题?       从黑客的角度定义,只要黑客能够从app找到一些方法获取我们的源码根据某些明显的字段得到重要信息从而修改程序以达到一定目的;窃取用户信息;窃取本地重要信息间接可以修改用户信息的,都是安全问题安全的意义? 安全问题,在Web开发很重要,同样在安卓开发安全也很重要。安全就像空气,看不见摸不着,一旦出现安全,没有及时修复,对于公司将是
Android 日常开发总结的60条技术经验
09-02
Android日常开发,积累和遵循一些技术经验能够极大地提高开发效率和代码质量。以下是基于提供的信息整理的60条技术经验的详细解释: 1. 继承BaseActivity:创建一个BaseActivity作为所有Activity的基础,用于...
关于Android应用开发的一些安全注意事项
810364804
06-06 173
原文地址: http://www.javacodegeeks.com/2014/05/simple-tips-to-secure-android-app.html http://developer.android.com/training/articles/security-tips.html Android已经具有内置到操作系统的安全功能,显著降低应用安全问题的频次和影响,但作为应用程序...
android开发遇到的安全问题
keke8021
03-25 946
本文是自己在开发过程,app上线前的安全检测遇到的问题,以便及时汇总记录下来.参考链接:http://drops.wooyun.org/tips/3936 http://www.360doc.com/content/15/0320/19/15077656_456766941.shtml http://blog.claudxiao.net/2013/03/android-webview-cach
移动应用程序开发应考虑的八大安全问题
xingqisan的专栏
09-26 3254
随着移动互联网的普及,企业越来越需要移动开发的进行,从而深化其客户体验,扩展其顾客购买产品的方式方法。   对移动应用程序的这种需求推动着企业开发。但是,需要注意的是,与移动应用程序相关的风险不同于传统的企业软件。我们看到,在移动软件领域,安全性很少成为开发过程的重要因素。   业务经理需要确保销售和IT管理人员在构建移动应用程序时能够保护客户的数据,不会向外部的攻击者打开无法预料的
android app开发的一些安全及漏洞问题
ZyClient的博客
12-03 1352
最近公司的app通过第三方安全检测公司进行了一次安全检测,当然ios,android都有,对于检测出来的漏洞及安全问题,我把android与ios对比了下简直不忍直视,难怪ios上线各种检测,不过话说回来我觉得android系统本来就存在一些漏洞,今天的主题就是关于漏洞及处理方案: 1.漏洞分类 通常漏洞分为三类:低危漏洞,危漏洞,高危漏洞. 低危漏洞就是对app用户数据及敏感信...
阿里巴巴Android开发规范2022最新版
05-11
以上只是部分关键知识点,完整的阿里巴巴Android开发规范涵盖了更多细节,如代码组织结构、异常策略、国际化、安全实践等,是Android开发日常工作不可或缺的参考指南。通过遵循这些规范,开发者不仅可以写出更高...
Android App应用安全加固详细步骤
11-12
在移动互联网时代,Android 应用程序(App)已经成为人们日常生活不可或缺的一部分。然而,随着应用市场的不断扩大,安全问题日益凸显,如何确保应用程序的安全性成为了开发者面临的重要挑战。本文将详细介绍如何...
基于Android的移动监控系统设计.pdf
09-22
综上所述,基于Android的移动监控系统设计涵盖了客户端开发、服务器搭建、视频流处理等多个方面,开发者需要具备跨领域的技术知识,同时也需要注意系统的安全性和用户体验。随着技术的不断发展,移动监控系统将更加...
Android应用安全之脆弱的加密
weixin_34402408的博客
04-08 143
程序员希望通过加密来提升程序的安全性性,但却缺乏专业的密码学背景知识,使得应用对数据的保护非常薄弱。本文将介绍可能出现在Android应用的一些脆弱的加密方式,以及对应的攻击方法。 造成脆弱加密的主要原因   Android应用造成弱加密的原因多种多样,OWASP Mobile Top 10 给出了几个原因:   使用了脆弱的加密算法 使用了强健的加密算法,但加密的实现存在漏洞...
Android安全检测 - AES/DES弱加密
qq_35993502的博客
10-12 1351
这一章我们来学习“AES/DES加密方法不安全使用漏洞”,了解这个漏洞发生的原因及其应对的方法,这章内容较短,感兴趣的同学可以去找找CPA攻击。 一、漏洞原理 AES/DES是android程序常用的两种对称加密算法,其工作模式有ECB、CBC、CFB和OFB。当其使用ECB或OFB工作模式时,加密数据可能被选择明文攻击CPA破解。加密方法失效后可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,间人攻击等后果,造成用户敏感信息被窃取。 二、检测手段 检测方法: step1:在代码内全局搜索AES
androidRSA加密过程遇到的坑
fighter5211314的专栏
05-11 1717
做过androidrsa 加密的朋友估计都会遇到一些问题。本人这个问题苦恼了我2天的时间最终搞定。大体说下遇到的问题吧: 客户端生成的秘钥对于同一个字符串而言,一直是相同的比如我用  随机串 “123456” 生成两次 ,得到的结果都是一个值。 客户端生成的秘钥服务端没法解密。(提示秘钥损坏、字符串过程、字符非法等等) 客户端生成的秘钥没法放到头文件 (里面有好多空格)解决的方案: 对于第一
RSA加密传输用户名密码--web
ljj2312的专栏
09-26 4517
Web登录时存在明文传输用户名和密码的安全漏洞,要求是:web客户端通信的数据包不能包含明文的账号和密码,建议采用RSA加密算法解决此漏洞。 1、在WEB系统编写工具类如下: package com.gsww.jup.util; import java.io.ByteArrayOutputStream; import java.io.FileInputStream; import j
python技巧积累
qq_44657899的博客
11-07 1125
文章目录字符串转换为16进制b2a_hex()hexlify()十六进制转换为字符串unhexlifya2b_hex() 字符串转换为16进制 示例:将字符串flag{081bc661-d62e-48da-b898-b43c73a42182}转换为16进制 要用到binascii模块: pip install binascii b2a_hex() 转换代码: # 导入模块binascii import binascii flag = "flag{081bc661-d62e-48da-b898-b43c7
rsa加解密、加验签
u013067015的博客
09-04 301
一、简介 RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。 二、加签、加密说明 加密和加签(签名)都是为了安全性考虑,但略有不同。简单的说,加密是为了防止信息被泄露,而加签(签名)是为了防止信息被篡改。 三、加密/解密 1、A生成一对密钥(
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3392
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是弱的 Cipher.getInstance("RSA/NONE/NoPadding") RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
关于RSA加密的BUG
用优雅的代码铺通往成功的路
05-07 1029
近期做项目,用到RSA加密算法.主要是服务端与安卓客户端进行数据传输.数据在客户端加密后,传输到服务端进行解密.但是,在服务端和客户端算法是一样的,加解密也都能成功,交互的时候却一直报错.错误:javax.crypto.BadPaddingException: Blocktype mismatch: 0由于在加解密之前有用base64编码,一直以为是编码的问题后面百度后发现是大多网上说的方法,确实
App端安全性加密策略
wybaby168的博客
02-01 1892
一种签名+验签的设计方案,供大家参考
android美颜相机开发
最新发布
02-07
随着移动互联网的发展,手机成为人们日常生活不可或缺的工具。而美颜相机app已经成为了很多人使用手机的标配之一。开发一款Android美颜相机app具有很大的市场前景和商业机会。 首先,Android系统是全球市场占有率最高的手机操作系统,具有庞大的用户群体。开发适配Android系统的美颜相机app可以帮助开发者迅速获得大量的用户群体。 其次,美颜相机app可以满足用户对于美化自拍的需求。随着社交媒体的流行,人们对于自拍的要求越来越高,美颜相机app可以提供丰富的美化功能,包括磨皮、美白、大眼、瘦脸等功能,满足用户对于美化自拍的需求。 另外,美颜相机app还可以结合社交分享功能,使用户可以方便地将美化后的照片分享到各种社交平台上,增加用户粘性和活跃度。 在开发Android美颜相机app时,需要注意用户体验和功能稳定性,保证app的流畅性和美化效果的真实性。同时,还需要关注用户隐私保护和数据安全,建立健全的用户隐私政策和数据保护机制。 综上所述,开发一款适配Android系统的美颜相机app具有很大的市场潜力,可以满足用户对于美化自拍的需求,有望获得广泛的用户认可和商业成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值