Wie sicher sind SQLite und SharedPreferences Dateien auf Android?
https://stackoverflow.com/questions/3608883
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Als erstes wird ein bisschen mein Hintergrund. Ich habe auf große Web-Systeme arbeiten seit mehr als einem Jahrzehnt, Android etwas, das ich in den letzten zwei Monaten gesucht haben; wie Sie sich vorstellen können, ist die Lücke ziemlich breit:)
Mit Blick auf Androids Sicherheit und Berechtigungen und Data Storage Teil der Dokumentation, direkt an die Entwickler sprechen, Bücher und Anleitungen zu lesen, ist es ziemlich klar, wie ganze Modell funktioniert. Allerdings war ich nicht in der Lage, eine Antwort zu finden, ob SQLite und SharedPreferences Dateien sicher genug sind empfindliche nicht-verschlüsselten Informationen zu speichern (zB OAuth-Token). Ist es möglich, dass jemand sie in irgendeiner Weise zu greifen? Zitiert von Android in der Dokumentation:
Jede von einer Anwendung gespeicherten Daten werden, dass die Anwendung der Benutzer-ID zugeordnet werden und normalerweise nicht zugänglich für andere Pakete.
Es ist das normalerweise nicht zugänglich Teil mir zusätzliche graue Haare zu geben:)
Danke, sind hilfreiche Antworten geschätzt:)
Lösung
Ist es möglich, dass jemand sie in irgendeiner Weise zu greifen?
Das hängt von der Person. Wie Herr Burov zeigt, können die Benutzer von verwurzelten Telefonen bekommen was sie wollen. Normale Benutzer und andere Anwendungen können nicht standardmäßig aktiviert.
Es ist der normalerweise nicht zugängliche Teil mir zusätzliche graue Haare zu geben:)
Standardmäßig werden Dateien sind sicher. Sie können sie die Welt lesbar oder welt beschreibbar machen, wenn Sie wählen.
Wäre es nicht möglich sein, APK-Datei zu dekompilieren und Verschlüsselungsschlüssel auch in diesem Fall finden?
Das hängt davon ab, wer Sie verteidigen gegen. Wenn Sie gegen andere Anwendungen verteidigen, hat der Benutzer die Verschlüsselungsschlüssel liefern. Wenn Sie gegen die Nutzer verteidigen, sind Sie geschraubt, so wie alle Implementierungen von DRM eingeschraubt werden.
Andere Tipps
Nun, es gibt eine Reihe von SharedPreferences Editor Anwendungen auf dem Markt, so dass sie auf jeden Fall nicht sicher. Auch auf verwurzelte Geräte-Datenbank kann leicht abziehen, da Anwender vollen Zugriff auf die Telefone hat Dateisystem. Wenn Sie also Ihre Anwendung vollständig gesichert werden wollen, verschlüsseln Sie Ihre Daten.
