Android安全编码规范可分为Android平台上特有的(Android-Only)、C、Java三个方面的安全编码规范。

Android-Only

敏感信息不要保存到外部存储中，除非做了加密。

外部存储包括SDK卡、Android/obb目录、挂载到PC的Android设备存储。 Android4.1以前的版本外部存储文件是任意读的，Android 1外部存储文件是任意写的。Android1  到Android4.3,只有赋予了WRITE_EXTERNAL_STORAGE permission权限才能写外部存储文件。从Android4.4开始，基于目录的文件分组和权限才实现，app只能 管理/读/写应用PackageName目录下的文件。

基于以上权限控制的缺失时，外部存储区域的文件能够被其他app读写。

因此，除非事先作了加密，开发者不要把敏感数据存储在外部存储设备。因为无法保证外部存储文件的可用性、完整性、机密性。

限制应用敏感数据的content provider访问权限

在API LEVEL16及以下的版本，content provider组件的android:exported默认值为public,除非显示设置android:exported="false".

在API LEVEL17及以上版本，content provider组件的android:exported默认值为private.

在 API LEVEl 8及以下版本，即使显式设定了android:exported＝false,content provider组件依旧可以被其他应用访问。

阻止webView通过file:schema方式访问到本地敏感数据

如果加载了恶意的file:schema url来源，通过js(当setJavaScriptEnabled(true))能够攻击到目标应用：

1.WebSettings#setAllowFileAccessFromFileURLs被允许，本地任意文件能够被恶意js通过XMLHTTP访问file:schema获取到

2.WebSettings#setAllowUniversalAccessFromFileURLs被允许，任意文件(包括本地和http/https)能够被恶意js获取到

防护方法：

1.禁用file:schema(webView.getSettings().setAllowFileAccess(false);)

2.对于需要使用file:schema的，禁止file协议调用js(webView.getSettings().setJavaScriptEnabled(false);)

不要广播敏感信息

如果消息广播和接受在同一个应用中的时候，使用LocalBroadcastManager替代。这样其他应用就接收不到广播信息了，减少敏感信息泄露的风险。

不要把敏感信息打印到LOG中

在Android4.0之前，获得READ_LOGS权限的应用可以读取所有应用的LOG输出。在Android4.1起，应用只能读取自己的LOG输出。但是，如果把Android设备连接到PC上，依旧可以获取到所有应用的LOG内容。

不要对恶意的intents给出URI权限

过滤掉恶意的intents

对Services的exported进行合适的设置，根据情况做权限控制

对Activity设置exported属性为false,尤其是敏感的Activity，或者对CallingActivity进行白名单过滤

总之，对内部使用的组件，显示的设置exported属性为false

应用发布前确保android:debuggable 属性设置为false

谨慎使用addJavascriptInterface，除非设置min API LEVEL>=17

防护建议：

Android>=17,允许js被调用的函数必须以@JavascriptInterface进行注解，因此不受影响；

对于API LEVEL < 17，尽量不要使用addJavascriptInterface，如果一定要用，那么：

1)使用https协议加载URL，使用证书校验，防止访问的页面被篡改挂马

2)对加载URL做白名单过滤、完整性校验等防止访问的页面被篡改；

3)如果加载本地html,应该会HTML内置在APK中，以及对HTML页面进行完整性校验

使用Android的AES加密算法时，不要使用默认的加密模式ECB

Cipher cipher = Cipher.getInstance( "DES/ECB/NoPadding" )

加密模式:ECB、CBC、CFB、OFB等，其中ECB的安全性较弱，将会使相同的明文在不同时候会产生相同的密文，容易遭到字典攻击，安全性不够高。建议使用CBC模式。

具体可参考：

http://www.freebuf.com/news/special/56506.html

使用NDK创建文件时，限制文件权限

使用NDK创建的文件，默认权限为-rw-rw-rw-。

防护建议：

1)使用umask去掉对应的权限

2)使用open()，设置对应的权限范围

不要使用loopback来通信敏感数据

loopback，就是与localhost 的端口建立网络连接，不应该来进行敏感数据通信。因为其他应用也可以获得这些数据，造成敏感信息泄露。

建议使用Android 的IPC机制，比如HttpsURLConnection或者SSLSocket类。