Aandroid日常开发中应该注意的安全问题

最新推荐文章于 2024-09-18 17:36:35 发布
最新推荐文章于 2024-09-18 17:36:35 发布
阅读量476 收藏
点赞数
分类专栏: 数据加密 java 客户端安全问题 文章标签: android android studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongxiaoou/article/details/104984021
版权

概述

在日常的Android开发中比较少注意一些细节的可能带来安全问题的地方,如果不是专业的机构来检测安全漏洞那么我们自己可能一直都不会注意到。
安全,永远是相对的。有的漏洞是一直存在的,但是你的App会不会被攻击是另一回事,取决于攻击之后带来的“产出”比,费了九牛二虎之力得不到高的收益那些黑客也不会搭理你。下面是一些开发中“顺手”就可以解决的问题,当然这里罗列的只是一小部分。

问题罗列

  • 应用数据备份问题
  • 四大组件的导出风险
  • RSA加密算法不安全使用漏洞

解决问题

应用数据备份问题

在androidManifest.xml中application标签下有一个allowBackup属性,默认为true 。当 allowBackup 标志为 true 时,用户即可通过 adb backup 和 adb restore 来进行对应用数据的备份和恢复。我们应该手动将其设置为false

四大组件的导出风险

android:exported 是Android中的四大组件 Activity,Service,ContentProvider,BroadcastReceiver 四大组件中都会有的一个属性。
作用是:是否支持其它应用调用当前组件。
默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。注意了如果包含有intent-filter那就要手动设置android:exported=false

RSA加密算法不安全使用漏洞

RSA算法是最为典型的非对称加密算法,也是当今应用范围最为广泛的非对称加密算法,也是第一个能用于数据加密也能用于数字签名的算法。
使用RSA加密算法时,应注意以下两点:

  • 密钥长度过短,会导致密钥被破解,通常小于512bit的密钥即存在破解的风险;
  • 加密算法没有使用正确的工作模式和填充方式,容易导致部分加密数据被破解或者遭到选择明文攻击(CPA)。

RSA加密算法的不安全使用,可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,中间人攻击等后果,造成用户敏感信息被窃取,甚至造成财产损失。

解决方法如下:
使用RSA加密算法时,密钥长度建议设置为2048bit,同时分别设置工作模式为ECB,填充模式为OAEPWithSHA256AndMGF1Padding。以下为修复代码示例:

1.KeyPairGenerator DemoKey=KeyPairGenerator.getInstance("RSA");
DemoKey.initialize(2048);
2.Cipher DemoCipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA256AndMGF1Padding");
DemoCipher.init(Cipher.ENCRYPT_MODE, keyPrivate);
gongxiaoou
关注
专栏目录
Android 日常开发总结的60条技术经验
09-02
Android日常开发,积累和遵循一些技术经验能够极大地提高开发效率和代码质量。以下是基于提供的信息整理的60条技术经验的详细解释: 1. 继承BaseActivity:创建一个BaseActivity作为所有Activity的基础,用于...
【国产化】禁止使用不安全的密码算法:DES、RC2,RSA(1024位及以下),MD5,SHA1
木头大左的博客
12-27 2283
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,用于生成数据的摘要信息。这意味着攻击者可以通过构造特定的输入数据,使MD5输出相同的摘要信息,从而实现伪造数据或篡改数据的目的。SHA1(Secure Hash Algorithm 1)是另一种广泛使用的哈希函数,用于生成数据的摘要信息。然而,随着计算机处理能力的提高,DES的密钥长度(56位)已经不足以保证数据的安全性。:使用不安全的密码算法可能导致用户对服务提供商的信任度下降,影响企业的声誉和市场竞争力。
最全Android安全检测漏洞解决方案
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
为什么 ECB 模式不安全
最新发布
chirrupy_hamal的博客
09-18 495
链接模式的缺失导致 ECB 模式不安全
RSA实现弱密钥漏洞分析(Analyzing Weak Key Vulnerabilities in RSA Implementation)
wu_fei_yu的博客
11-30 1865
我们将设计并实现一款RSA加密算法的模拟工具,通过生成大量密钥对并使用已知的弱密钥攻击方法进行测试,以识别出潜在的弱密钥漏洞。本研究将深入探讨RSA的弱密钥漏洞,通过综合分析已知的弱密钥攻击方法,挖掘出潜在的弱密钥漏洞。同时,对于防御弱密钥漏洞,我们将通过提出可行的密钥生成算法和推荐的参数设置,以加强RSA算法的安全性。本研究旨在分析RSA实现的弱密钥漏洞。总之,本文通过深入分析RSA实现的弱密钥漏洞,揭示了其对算法安全性的危害,为软件专业的大学生提供了对该漏洞的全面认识,以及预防和修复的方法。
Android应用安全检测项目
苛学加记事
07-08 7115
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
androidRSA加密过程遇到的坑
fighter5211314的专栏
05-11 1749
做过androidrsa 加密的朋友估计都会遇到一些问题。本人这个问题苦恼了我2天的时间最终搞定。大体说下遇到的问题吧: 客户端生成的秘钥对于同一个字符串而言,一直是相同的比如我用  随机串 “123456” 生成两次 ,得到的结果都是一个值。 客户端生成的秘钥服务端没法解密。(提示秘钥损坏、字符串过程、字符非法等等) 客户端生成的秘钥没法放到头文件 (里面有好多空格)解决的方案: 对于第一
Android数据安全RSA加密(非对称加密)
liugec的博客
05-02 766
RSA算法是最流行的公钥密码算法,使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。有两把钥匙(密钥对),公钥和私钥,公钥的话给别人.私钥自己保存; 特点:加密速度比慢一些,但是安全系数比较高,秘钥对的话需要程序生成.不能我们自己定义。
阿里巴巴Android开发规范2022最新版
05-11
以上只是部分关键知识点,完整的阿里巴巴Android开发规范涵盖了更多细节,如代码组织结构、异常策略、国际化、安全实践等,是Android开发日常工作不可或缺的参考指南。通过遵循这些规范,开发者不仅可以写出更高...
教你几招保障Android手机的安全.pdf
09-21
日常使用,用户应养成良好的安全习惯,如定期更新系统和应用、不随意点击不明链接或安装未经验证的应用,以确保个人信息和设备的安全。对于企业来说,还需要制定相应的安全策略和监控机制,以应对日益复杂的网络...
Android支付宝蚂蚁森林能量自动收取插件开发原理解析
11-12
这一过程不仅涉及到了移动开发领域的多种高级技术,如Xposed框架的使用、WebView的JS注入以及定时任务管理等,同时也展示了如何通过逆向工程分析和解决问题的能力。当然,值得注意的是,此类插件的开发和使用需...
【Java编码准则】の #12不要使用不安全或者强度弱的加密算法
ASCE1885
06-21 1万+
安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法,现代计算机的计算能力使得攻击者通过暴力破解可以攻破强度弱的算法。例如,数据加密标准算法DES是极度不安全的,使用类似EFF(Electronic Frontier Foundaton) Deep Crack的计算机在一天内可以暴力破解由DES加密的消息。 [不符合安全要求的代码示例]      下面的代码使用强度弱的DES
静态扫描规则:不安全的加密算法
jimmyleeee的专栏
03-07 4917
今天使用一款SAST扫描不安全的加密算法时,发现一个很明显的代码段,居然没有扫描到,代码段如下: private static void testdes() { try { //Creating a KeyGenerator object KeyGenerator keyGen = KeyGenerator.getInstance("des"); //Creating a SecureRandom object SecureRandom secRandom = new S
09 | 为什么ECB模式不安全
qq_37756660的博客
10-18 1248
上一讲,我们讨论了对称密钥分组算法的计算过程,我们找到了影响对称密钥算法安全性的五个关键因素,以及初始化向量对算法安全性的影响和选择。不过,还有一些遗留的问题,我们没有来得及讨论,链接模式和数据补齐方案对算法安全性有什么样的影响?它们是怎么影响分组算法安全性的呢?我们又该怎么避免这些安全陷阱呢?其实,这都是对称密钥分析的核心问题。因为,可以说,每一种链接模式、每一种数据补齐方案都有着不同的构造,当然也就对应着不同的分析办法,而且分析起来都较为复杂。
RSA加密的坑
莫颜轩的博客
12-10 1191
1,解密乱码问题 如果代码是这样的,如下: Cipher cipher = Cipher.getInstance("RSA"); 应该改成 Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding"); 2,同样的如果安卓和java,同样的加密工具类,但是加密结果不一样,也是用1方法解决 3,加载的字符串大于117时会报错 ...
RSA加密传输用户名密码--web
ljj2312的专栏
09-26 4568
Web登录时存在明文传输用户名和密码的安全漏洞,要求是:web客户端通信的数据包不能包含明文的账号和密码,建议采用RSA加密算法解决此漏洞。 1、在WEB系统编写工具类如下: package com.gsww.jup.util; import java.io.ByteArrayOutputStream; import java.io.FileInputStream; import j
java.security.NoSuchAlgorithmException: No such algorithm: RSA/ECB/PKCS1Padding 问题解决
热门推荐
qq_21857459的博客
11-02 2万+
错误日志:无法找到RSA算法,找不到类,类加载器有限制。 2016-09-28 14:52:39.654 [ERROR] com.csii.mcs.ibs.validator.CSIIPinConvertor nP1vkKiwN9YmjVBVLbWe7rROTgM2v8b9eevCpIXPZwK7YXpp2jTq!-685201044!1475045533872 ebankmapp2#14750
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3632
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是弱的 Cipher.getInstance("RSA/NONE/NoPadding") RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值