组件安全：
Activity、Service、Receiver、Provider访问权限设置android:exported = false
LocalBroadcastManager替代BroadcastReceiver
Application的debugable/allowBackup = false

WebView安全：
JsBridge

数据存储安全：
敏感信息写到so

数据传输安全：
https、TCP＋TLS

其他：
日志输出关闭、混淆等

二次打包：
native数字签名校验 ＋ 应用加固

页面劫持：
在登录窗口等关键Activity的onPause方法中检测最前端Activity应用是不是自身或者是系统应用。

移动APP安全测试要点

APK防二次打包解决方案

移动安全自动化审计之路

Android逆向之旅—Android应用的安全的攻防之战

Android安全——客户端安全要点

本文原文发自 某学姐, 转载请保留出处, 谢谢.