主要從開(kāi)發(fā)角度看移動(dòng)設(shè)備權(quán)限，應(yīng)用發(fā)版，敏感數(shù)據(jù)保護(hù)，數(shù)據(jù)傳輸，身份認(rèn)證授權(quán)，會(huì)話，代碼自查評(píng)審測(cè)試。

開(kāi)發(fā)者在程序初始化后，應(yīng)該檢查驗(yàn)證輸入的數(shù)據(jù)。程序應(yīng)確保功能服務(wù)最小化，故障時(shí)不影響其他服務(wù)。在發(fā)版前，刪除冗余測(cè)試代碼?？紤]網(wǎng)絡(luò)連接信息，緩存，備份，刪除文件等數(shù)據(jù)生命周期。按敏感程度，訪問(wèn)策略對(duì)密碼，客戶信息，IP，位置，error日志信息數(shù)據(jù)存儲(chǔ)分類(lèi)。另外不學(xué)美國(guó)棱鏡事件，在客戶端設(shè)備上開(kāi)發(fā)監(jiān)聽(tīng)端口，應(yīng)使用手機(jī)操作系統(tǒng)提供的通信機(jī)制。

敏感信息處理?？蛻粜畔ⅲ脩裘?，密碼，賬號(hào)，余額，token等重要信息，不建議存客戶端，容易泄露?；蛘哂檬謾C(jī)系統(tǒng)加密處理，進(jìn)行秘鑰存儲(chǔ)，以加密散列形式備份秘鑰和證書(shū)。卸載APP時(shí)重要敏感信息應(yīng)該也被刪除。默認(rèn)不信任共享存儲(chǔ)，不在SD存儲(chǔ)。不與其他應(yīng)用軟件共享數(shù)據(jù),SESSION，COOKIE等。絕對(duì)不能犯密碼，密鑰在緩存，日志中輸出的低級(jí)錯(cuò)誤。二進(jìn)制代碼，服務(wù)端存儲(chǔ)敏感信息，下載后，很容易被反編譯破解。

身份認(rèn)證授權(quán)。注冊(cè)提示用戶密碼設(shè)置策略，登錄密碼認(rèn)證強(qiáng)度應(yīng)該合適。查詢重要信息，轉(zhuǎn)賬，支付時(shí)有必要通過(guò)聲音，視頻，指紋，或其他密碼提升認(rèn)證機(jī)制。使用手勢(shì)滑動(dòng)解鎖碼時(shí)，次數(shù)應(yīng)該有限制，否則潤(rùn)滑膏涂抹到屏幕上可以破解密碼。適當(dāng)增加上下文信息中的IP，位置變動(dòng)驗(yàn)證身份安全。

數(shù)據(jù)傳輸?，F(xiàn)有技術(shù)是可以破解運(yùn)行商網(wǎng)絡(luò)的，WIFI網(wǎng)絡(luò)環(huán)境加密還好一些。敏感信息通過(guò)SSL/TLS加密，點(diǎn)對(duì)點(diǎn)傳輸，保證機(jī)密和完整。權(quán)威的加密算法：AES,DES,3DES,SHA-1。對(duì)稱算法密鑰長(zhǎng)度應(yīng)該大于等于256，非對(duì)稱算法秘鑰長(zhǎng)度應(yīng)該大于等于2048。服務(wù)端身份驗(yàn)證通過(guò)后，確保使用的可信的SSL證書(shū)，才可以建立會(huì)話連接。證書(shū)簽名最好選用權(quán)威CA提供的，自己簽名生成的不太安全。采用SSL PROXY,SSL STRIP降低中間人攻擊風(fēng)險(xiǎn)。移動(dòng)客戶端和服務(wù)端會(huì)話應(yīng)保持一致，防止數(shù)據(jù)卡半邊。

不用設(shè)備ID做標(biāo)識(shí)符，用隨機(jī)數(shù)生成器，配合日期，時(shí)間，溫度傳感器，重力感應(yīng)器等生成隨機(jī)數(shù)。向相同手機(jī)號(hào)發(fā)驗(yàn)證碼，一分鐘不多于3次。相同IP，session的用戶短息驗(yàn)證碼也需要設(shè)定次數(shù)，不能無(wú)限發(fā)。HTTP請(qǐng)求響應(yīng)報(bào)文不能包含短信內(nèi)容，尤其是驗(yàn)證碼，防止被截取。

DEX加殼保護(hù)級(jí)別從高到低，虛擬機(jī)，函數(shù)，文件級(jí)保護(hù)。SO動(dòng)態(tài)鏈接庫(kù)應(yīng)加固保護(hù)。ROOT模式時(shí)，應(yīng)退出應(yīng)用，并提示給用戶風(fēng)險(xiǎn)。防調(diào)試保護(hù)：調(diào)試工具動(dòng)態(tài)注入Xposed，Cydia Substrate,Frida框架。證書(shū)，秘鑰，隱私，敏感數(shù)據(jù)，數(shù)據(jù)庫(kù)文件，Shared Preferences數(shù)據(jù)文件，Webview數(shù)據(jù)文件，assets文件，res文件，raw文件等都需要加固保護(hù)。

每天強(qiáng)制自己寫(xiě)些東西，拍攝制作視頻，記錄生活，思考探索學(xué)習(xí)一些東西。不斷地學(xué)習(xí)，堅(jiān)持下去，提高自己的認(rèn)知，打開(kāi)自己的思維，以后會(huì)有更多的方法和創(chuàng)新。版權(quán)歸作者老有理所有，未經(jīng)作者允許不得轉(zhuǎn)載本文內(nèi)容，否則將視為侵權(quán)；轉(zhuǎn)載或者引用本文內(nèi)容請(qǐng)注明來(lái)源及原作者；對(duì)于不遵守此聲明或者其他違法使用本文內(nèi)容者，本人依法保留追究權(quán)。歡迎大家對(duì)內(nèi)容給予批評(píng)指正，請(qǐng)?jiān)谙旅媪粞?，我?huì)一一回答，謝謝大家的支持關(guān)照。認(rèn)可的點(diǎn)贊支持！喜歡的話就點(diǎn)擊關(guān)注！！