Насколько безопасны файлы SQLite и SharedPreferences на Android?
https://stackoverflow.com/questions/3608883
-
25-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Во-первых, немного моего фона. Я работаю над крупными веб-системами в течение более десяти лет, Android - это то, что я смотрел на последние два месяца; Как вы можете себе представить, разрыв довольно широкий :)
Глядя на андроид Безопасность и разрешения а также Хранилище данных Часть документации, разговаривая непосредственно разработчикам, чтение книг и учебников, довольно ясно, как работает цельная модель. Тем не менее, я не смог найти ответ, будь то файлы SQLite и SharedPreferences достаточно безопасны для хранения деликатной не зашифрованной информации (например, токены OAuth). Возможно ли, чтобы кто-то схватил их каким-либо образом? Цитируя документацию Android:
Любые данные, хранящиеся приложением, будут присваиваться идентификатор пользователя приложения и обычно не доступен для других пакетов.
Это не нормально доступен Часть дает мне дополнительные седые волосы :)
Спасибо, полезные ответы ценятся :)
Решение
Возможно ли, чтобы кто-то схватил их каким-либо образом?
Это зависит от кого-то. Как указывает, как г-н Бурув, пользователи укоренившихся телефонов могут попасть на все, что они хотят. Обычные пользователи и другие приложения не могут по умолчанию.
Это не нормально доступная часть, дающая мне дополнительные серые волосы :)
По умолчанию файлы безопасны. Вы можете сделать их читаемыми мира или во всем мире, если вы выберете.
Разве не удалось бы декомпилировать файл APK и найти ключ шифрования в этом случае?
Это зависит от того, кто вы защищаете против. Если вы защищаетесь против других приложений, у пользователя есть ключ шифрования. Если вы защищаетесь против пользователя, вы прикручены, так же, как все реализации DRM прикручены.
Другие советы
Ну, на рынке есть куча приложений редактора ShareDPreferences, поэтому они определенно не защищены. Также на базе данных укоретенных устройств могут легко откладывать, поскольку пользователь имеет полный доступ к файловой системе телефонов. Следовательно, если вы хотите, чтобы ваше приложение было полностью закреплено, зашифровать ваши данные.
