Android应用会遇到各种各样的漏洞，如何从细节上了解各种安全隐患，积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识，网易云易盾资深安全工程师徐从祥为大家详细解读常见九大的Android漏洞，供各位学习参考。（如果下面干货内容没有让各位尽兴，欢迎来官网申请相关产品试用，面对面交流，保证解决你的安全难题。）

第一大类：Android Manifest配置相关的风险或漏洞

  程序可被任意调试

  风险详情：安卓应用apk配置文件Android Manifest.xml中android:debuggable=true，调试开关被打开。

  危害情况：app可以被调试。

  修复建议：把Android Manifest.xml配置文件中调试开关属性关掉，即设置android:Debugable="false"。

  程序数据任意备份

  风险详情：安卓应用apk配置文件AndroidManifest.xml中android:allowBackup=true，数据备份开关被打开。

  危害情况：app应用数据可被备份导出。

  修复建议：把AndroidManifest.xml 配置文件备份开关关掉，即设置android:allowBackup="false"。

组件暴露：建议使用android:protectionLevel="signature" 验证调用来源。

Activity组件暴露

  风险详情：Activity组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时，activity被认为是导出的，可通过设置相应的Intent唤起activity。

  危害情况：黑客可能构造恶意数据针对导出activity组件实施越权攻击。

  修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “false”。如果组件需要与其他app共享数据或交互， 请对组件进行权限控制和参数校验。

  Service组件暴露

  风险详情：Service组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时，Service被认为是导出的，可通过设置相应的Intent唤起Service。

  危害情况：黑客可能构造恶意数据针对导出Service组件实施越权攻击。

  修复建议：如果组件不需要与其他app共享数据或交互，请将AndroidManifest.xml 配置文件中设置该组件为exported = “false”。如果组件需要与其他app共享数据或交互， 请对组件进行权限控制和参数校验。

  ContentProvider组件暴露

  风险详情：Content Provider组件的属性exported被设置为true或是Android API