Bảo mật Android SharedPreference

Tôi thắc mắc về bảo mật tùy chọn chia sẻ.

Có thể truy cập vào các tham chiếu được chia sẻ, ngay cả khi chúng được tạo trong MODE_PRIV (0)?
Có thể liệt kê tất cả các tùy chọn được chia sẻ có sẵn và sau đó tìm nạp tất cả cài đặt từ các ứng dụng khác không?
Tham khảo chia sẻ có phải là nơi tốt để đặt dữ liệu nhạy cảm, chẳng hạn như mật khẩu hoặc mã xác thực không?

Cảm ơn

Tùy chọn Chia sẻ được lưu trữ dưới dạng tệp trong hệ thống tệp trên thiết bị. Theo mặc định, chúng được lưu trữ trong thư mục dữ liệu của ứng dụng với các quyền của hệ thống tệp được đặt chỉ cho phép UID mà ứng dụng cụ thể chạy cùng để truy cập chúng. Vì vậy, chúng rất riêng tư vì quyền đối với tệp Linux hạn chế quyền truy cập vào chúng, giống như trên bất kỳ hệ thống Linux / Unix nào.

Bất kỳ ai có quyền truy cập cấp root vào thiết bị sẽ có thể nhìn thấy chúng, vì root có quyền truy cập vào mọi thứ trên hệ thống tệp. Ngoài ra, bất kỳ ứng dụng nào chạy với cùng một UID như ứng dụng đang tạo sẽ có thể truy cập chúng (điều này thường không được thực hiện và bạn cần thực hiện hành động cụ thể để làm cho hai ứng dụng chạy với cùng một UID, vì vậy đây có lẽ không phải là một vấn đề lớn liên quan). Cuối cùng, nếu ai đó có thể gắn hệ thống tệp của thiết bị của bạn mà không cần sử dụng hệ điều hành Android đã cài đặt, họ cũng có thể bỏ qua quyền hạn chế quyền truy cập.

Nếu bạn lo lắng về quyền truy cập như vậy vào tùy chọn của mình (hoặc bất kỳ dữ liệu nào do ứng dụng của bạn viết), thì bạn sẽ muốn mã hóa nó. Nếu bạn lo lắng về chúng, bạn sẽ cần phải tìm ra chính xác mức độ bảo vệ cần thiết đối với mức độ rủi ro mà bạn thấy. Có một cuộc thảo luận rất rộng rãi về vấn đề này trong Bảo mật ứng dụng cho nền tảng Android , vừa được xuất bản vào tháng 12 năm 2011 (tuyên bố từ chối trách nhiệm: Tôi là tác giả của cuốn sách này).

SharedPreferences không là gì ngoài các tệp XML trong điện thoại / dữ liệu / dữ liệu / thư mục của bạn, Vì vậy, bất kỳ ứng dụng hoặc người dùng nào có đặc quyền siêu người dùng trên thiết bị gốc đều có thể truy cập SharedPreferences của bạn, ngay cả khi chúng được tạo bằng MODE_PRIV

Vẫn có một cách để bảo vệ nó khỏi mọi người ... Vui lòng kiểm tra liên kết này. Ở đây bạn có thể lưu trữ dữ liệu ở dạng pref với mã hóa, lớp này tự giải thích và rất dễ sử dụng.

https://github.com/sveinungkb/encrypted-userprefs

Như đã nói bởi những người khác, bất kỳ ai cũng có thể truy cập nó nhưng trong trường hợp này không ai có thể đọc dữ liệu bên trong nó vì nó đã được mã hóa. Vì vậy, nó an toàn. Để bảo mật tối đa, đề xuất của tôi sẽ là tạo khóa được sử dụng để mã hóa tại thời điểm chạy hơn là mã hóa cứng. Có nhiều cách để làm điều đó :)

Thông thường, không, chúng không thể được truy cập bởi các ứng dụng khác, tuy nhiên, bạn nên lưu ý rằng SharedPreferences được lưu trữ dưới dạng tệp XML trong /data/data/thư mục, về cơ bản có nghĩa là bất kỳ ứng dụng nào có đặc quyền siêu người dùng trên thiết bị gốc đều có thể truy cập vào SharedPreferences của bạn , ngay cả khi chúng được tạo nên bởiMODE_PRIV

Có thể truy cập vào các tham chiếu được chia sẻ, ngay cả khi chúng được tạo trong MODE_PRIV (0)?

Theo mã số. Nhưng bạn có thể truy xuất tệp ứng dụng nếu bạn có đặc quyền người dùng cấp cao.

Có thể liệt kê tất cả các tùy chọn được chia sẻ có sẵn và sau đó tìm nạp tất cả cài đặt từ các ứng dụng khác không?

Nếu bạn là siêu người dùng (thiết bị đã root) thì bạn có thể kéo tất cả các tệp riêng tư của ứng dụng.

Tham khảo chia sẻ có phải là nơi tốt để đặt dữ liệu nhạy cảm, chẳng hạn như mật khẩu hoặc mã xác thực không?

Không. Nó có thể bị hack dễ dàng. Nếu bạn muốn đưa bất kỳ dữ liệu nhạy cảm nào vào tệp prefrence được chia sẻ, bạn có thể mã hóa dữ liệu và lưu trữ. Bạn có thể lưu trữ khóa mã hóa của mình trong NDK / máy chủ.