Quão seguros são os arquivos SQLite e SharedPreferences no Android?
https://stackoverflow.com/questions/3608883
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Primeiro, um pouco do meu fundo. Eu trabalho em grandes sistemas da Web há mais de uma década, o Android é algo que venho procurando nos últimos dois meses; Como você pode imaginar, a lacuna é bastante larga :)
Olhando para o Android's Segurança e permissões e Armazenamento de dados Parte da documentação, conversando diretamente com os desenvolvedores, lendo livros e tutoriais, fica bem claro como o modelo inteiro funciona. No entanto, não consegui encontrar uma resposta se os arquivos SQLite e SharedPreferences são seguros o suficiente para armazenar informações delicadas não criptografadas (por exemplo, tokens OAuth). É possível que alguém os pegue de alguma forma? Citando a documentação do Android:
Quaisquer dados armazenados por um aplicativo receberão o ID do usuário desse aplicativo e normalmente não é acessível a outros pacotes.
É o normalmente não é acessível parte me dando cabelos grisalhos adicionais :)
Obrigado, respostas úteis são apreciadas :)
Solução
É possível que alguém os pegue de alguma forma?
Isso depende de alguém. Como o Sr. Burov indica, os usuários de telefones enraizados podem obter o que quiserem. Usuários comuns e outros aplicativos não podem, por padrão.
É a parte normalmente acessível que me dá cabelos grisalhos adicionais :)
Por padrão, os arquivos são seguros. Você pode torná-los legíveis mundiais ou criativos para o mundo, se escolher.
Não seria possível descompilar o arquivo APK e encontrar a chave de criptografia também nesse caso?
Isso depende de quem você está defendendo. Se você estiver defendendo contra outros aplicativos, peça ao usuário que forneça a chave de criptografia. Se você está defendendo contra o usuário, está ferrado, assim como todas as implementações do DRM estão parafusadas.
Outras dicas
Bem, há um monte de aplicativos do SharedPreferences Editor no mercado, então eles definitivamente não estão seguros. Também no banco de dados de dispositivos enraizados pode ser retirado facilmente, pois o usuário tem acesso total ao sistema de arquivos do telefone. Portanto, se você deseja que seu aplicativo seja totalmente protegido, criptografa seus dados.
