做個(gè)幾個(gè)銀行類(lèi)的app，他們對(duì)app安全的要求都比較高，這篇文章整理一些日常開(kāi)發(fā)中的安全性處理注意的地方。
##sharedPreference
很多app在使用sharedpreferece儲(chǔ)存?zhèn)€人數(shù)據(jù)，然后這部分儲(chǔ)存是不安全的。
1.創(chuàng)建模式要正確MODE_PRIVATE。
因?yàn)槿绻鞘褂肕ODE_WORLD_READABLE創(chuàng)建的sharedpreference文件其他app是可以讀取到的。如果是使用MODE_WORLD_WRITEABLE創(chuàng)建的sharedpreferece，雖然其他app是不能讀取到，但是是可以通過(guò)獲取跟你app相同的sharedUserId從而讀取該文件的內(nèi)容。
root權(quán)限下的用戶(hù)不管哪種模式都可以讀取到sharedpreferece里面的信息。
2.如果需要進(jìn)程間數(shù)據(jù)共享，可考慮content provider。
3.盡量避免將密碼等敏感數(shù)據(jù)信息明文存儲(chǔ)在Shared Preferences中。

##網(wǎng)絡(luò)傳輸
1.對(duì)敏感信息進(jìn)行對(duì)稱(chēng)加密。如3Des,RSA加密。
2.不建議對(duì)整個(gè)傳輸?shù)膱?bào)文進(jìn)行加密，因?yàn)閿?shù)據(jù)量比較大，可對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行單向加密，生成一個(gè)sign，然后上傳到服務(wù)端，讓服務(wù)端進(jìn)行同原文的比對(duì)。驗(yàn)證數(shù)據(jù)有沒(méi)有被篡改。
3.在物理傳輸層可使用https的傳輸方式來(lái)替代http協(xié)議。HTTPS 是 HTTP 的安全版本，為什么這么說(shuō)呢？因?yàn)镠TTPS 自帶加密、驗(yàn)簽、檢查數(shù)據(jù)完整性等功能，它在 HTTP 下加入了 SSL (Secure Socket Layer)，SSL 位于 TCP/IP 和 HTTP 協(xié)議之間，負(fù)責(zé)加密、驗(yàn)簽、檢查數(shù)據(jù)完整性工作

##其他
1.本地文件敏感數(shù)據(jù)不能保存，如要要保存，必須進(jìn)行加密，加密算法不能是偽加密，比如Base64加密。
2.對(duì)于存在本地的密鑰，可使用jni保存到so文件里面。
3.apk打包要進(jìn)行簽名和混淆處理。
4.日志打印要進(jìn)行控制。
5.頁(yè)面跳轉(zhuǎn)做app防劫持處理。

##app加固
有一些第三方的公司專(zhuān)門(mén)對(duì)app做加固操作，防止應(yīng)用被逆向分析,反編譯,二次打包。
或者使用360提供的免費(fèi)加固等。

##防止界面劫持
在android系統(tǒng)中，程序可以枚舉當(dāng)前運(yùn)行的進(jìn)程而不需要聲明任何權(quán)限，如果攻擊者注冊(cè)一個(gè)receiver，響應(yīng)android.intent.action.BOOT_COMPLETED，使得開(kāi)啟啟動(dòng)一個(gè)service；在這個(gè)service中啟動(dòng)一個(gè)計(jì)時(shí)器，不停枚舉當(dāng)前進(jìn)程中是否有預(yù)設(shè)的進(jìn)程啟動(dòng)，如果發(fā)現(xiàn)有預(yù)設(shè)進(jìn)程，則使用FLAG_ACTIVITY_NEW_TASK啟動(dòng)自己的釣魚(yú)界面，而正常應(yīng)用的界面則隱藏在釣魚(yú)界面的后面。
防止劫持的辦法是啟動(dòng)一個(gè)Service（在頁(yè)面onCreate的時(shí)候去啟動(dòng)這個(gè)服務(wù)），然后判斷當(dāng)前頁(yè)面的包名和系統(tǒng)棧頂頁(yè)面的包名是否一致，如果不一致的話(huà)有可能被劫持的風(fēng)險(xiǎn)，則app給出相應(yīng)的提示或者跳轉(zhuǎn)到相應(yīng)的頁(yè)面。

總結(jié)

以上是生活随笔為你收集整理的银行类app如何保证安全性的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。