Насколько безопасны файлы SQLite и SharedPreferences на Android?

Question

Насколько безопасны файлы SQLite и SharedPreferences на Android?

35

Во-первых, немного моего фона. Я работаю над большими веб-системами уже более десяти лет, Android - это то, о чем я смотрел последние два месяца; как вы можете себе представить, пробел довольно широк:)

Глядя на Android Безопасность и разрешения и Хранилище данных часть документации, беседа непосредственно с разработчиками, чтение книг и учебников, довольно ясно, как работает целая модель. Однако мне не удалось найти ответ, безопасны ли файлы SQLite и SharedPreferences для хранения неглубокой незашифрованной информации (например, токены OAuth). Возможно ли кому-то их схватить? Указание документации на Android:

Любые данные, хранящиеся в приложении, будут назначены этому идентификатору пользователя приложения и обычно недоступны для других пакетов.

Это не нормально доступная часть, дающая мне дополнительные седые волосы:)

Спасибо, полезные ответы приветствуются:)

David Kuridža 31 авг. 2010, в 13:41

Источник

0

Я не знаю ответа, но я не думаю, что данные каким-либо образом зашифрованы.
Thomas Mueller 31 авг. 2010, в 12:32
1

Нет. Единственный механизм защиты - через права доступа на уровне файловой системы. Однако при рутировании телефона любое приложение может получить доступ к этим XML-файлам. Смотрите также: androiddiscuss.com/1-android-discuss/1671.html
Paul Lammertsma 20 май 2011, в 21:08

Теги:

sqlite

android

security

sharedpreferences

2 ответа

1

Ну, на рынке есть множество приложений редактора SharedPreferences, поэтому они определенно не защищены. Также на корневых устройствах база данных может легко удаляться, поскольку пользователь имеет полный доступ к файловой системе телефонов. Следовательно, если вы хотите, чтобы ваше приложение было полностью защищено, зашифруйте свои данные.

Konstantin Burov 31 авг. 2010, в 12:50

0

Разве нельзя было бы декомпилировать файл apk и найти ключ шифрования в этом случае?
David Kuridža 31 авг. 2010, в 12:42
8

«Ну, на рынке есть множество приложений-редакторов SharedPreferences, поэтому они определенно не защищены». - пожалуйста, назовите несколько, так как поиск по Маркету не дает ничего.
CommonsWare 31 авг. 2010, в 12:59
0

@ Давид, вы можете получить ключ через зашифрованное соединение с какого-либо сервера в сети. Вероятно, не лучшее решение, но обеспечивает более высокий уровень безопасности.
Konstantin Burov 31 авг. 2010, в 14:26
2

@CommonsWare: о, черт возьми, я был одурачен всеми приложениями для редактирования профилей на рынке (вы знаете, эти настройки громкости, яркости и т. Д.). Мне стыдно :)
Konstantin Burov 31 авг. 2010, в 14:28
0

Об этом стоит подумать, спасибо, что упомянули об этом.
David Kuridža 01 сен. 2010, в 05:25
0

@CommonsWare Если вам интересно, я только что нашел это приложение play.google.com/store/apps/… под названием Cheat Droid. Это позволяет вам редактировать sharedprefs любого приложения на вашем телефоне, пока у вас есть root-доступ. Просто использовал это, чтобы обмануть мою собственную игру ...;)
Twice Circled 17 апр. 2013, в 19:30
0

@TwiceCircled: Мой комментарий касался первого предложения этого ответа. Поскольку во втором предложении обсуждается укоренение, первое предложение должно относиться к некорневым решениям. Ваше решение требует root. Корневые пользователи могут получить доступ к чему угодно. Пользователи без SharedPreferences root не должны иметь возможность манипулировать SharedPreferences , исключая глупые шаги со стороны разработчика (например, делая их доступными для записи всем пользователям).
CommonsWare 17 апр. 2013, в 19:34
0

Ваш ответ действительно заинтриговал меня, потому что я думал, что эти приложения не возможны, и оказывается, что это правильно. Несмотря на то, что многие люди, упомянутые здесь, если у вас есть root, вы можете получить доступ ко ВСЕМ данным на телефоне, так что, вероятно, будет много приложений, делающих это проще, но root является обязательным условием.
PSIXO 25 фев. 2014, в 14:53

Показать ещё 6 комментариев

Ещё вопросы

Я не знаю ответа, но я не думаю, что данные каким-либо образом зашифрованы.
Нет. Единственный механизм защиты - через права доступа на уровне файловой системы. Однако при рутировании телефона любое приложение может получить доступ к этим XML-файлам. Смотрите также: androiddiscuss.com/1-android-discuss/1671.html
Разве нельзя было бы декомпилировать файл apk и найти ключ шифрования в этом случае?
«Ну, на рынке есть множество приложений-редакторов SharedPreferences, поэтому они определенно не защищены». - пожалуйста, назовите несколько, так как поиск по Маркету не дает ничего.
@ Давид, вы можете получить ключ через зашифрованное соединение с какого-либо сервера в сети. Вероятно, не лучшее решение, но обеспечивает более высокий уровень безопасности.
@CommonsWare: о, черт возьми, я был одурачен всеми приложениями для редактирования профилей на рынке (вы знаете, эти настройки громкости, яркости и т. Д.). Мне стыдно :)
Об этом стоит подумать, спасибо, что упомянули об этом.
@CommonsWare Если вам интересно, я только что нашел это приложение play.google.com/store/apps/… под названием Cheat Droid. Это позволяет вам редактировать sharedprefs любого приложения на вашем телефоне, пока у вас есть root-доступ. Просто использовал это, чтобы обмануть мою собственную игру ...;)
@TwiceCircled: Мой комментарий касался первого предложения этого ответа. Поскольку во втором предложении обсуждается укоренение, первое предложение должно относиться к некорневым решениям. Ваше решение требует root. Корневые пользователи могут получить доступ к чему угодно. Пользователи без SharedPreferences root не должны иметь возможность манипулировать SharedPreferences , исключая глупые шаги со стороны разработчика (например, делая их доступными для записи всем пользователям).
Ваш ответ действительно заинтриговал меня, потому что я думал, что эти приложения не возможны, и оказывается, что это правильно. Несмотря на то, что многие люди, упомянутые здесь, если у вас есть root, вы можете получить доступ ко ВСЕМ данным на телефоне, так что, вероятно, будет много приложений, делающих это проще, но root является обязательным условием.

CommonsWare · Accepted Answer · 2010-08-31T13-43-00.000Z

Возможно ли, чтобы кто-то их схватил?

Это зависит от кого-то. Как указывает г-н Буров, пользователи укоренившихся телефонов могут получить все, что захотят. По умолчанию обычные пользователи и другие приложения не могут.

Это не нормально доступная часть, дающая мне дополнительные седые волосы:)

По умолчанию файлы защищены. Если вы выберете, вы сможете сделать их доступными для чтения или всемирно.

Не удалось ли декомпилировать файл apk и найти ключ шифрования в этом случае?

Это зависит от того, с кем вы защищаетесь. Если вы защищаете другие приложения, попросите пользователя предоставить ключ шифрования. Если вы защищаетесь от пользователя, вы ввернуты, как и все реализации DRM.

Всегда найдется кто-то, кто попытается понять, как что-то делается, и 100% -ная защита невозможна. Надеемся, что шифрование данных не позволит большинству попыток быть успешными. Я предполагаю, что мы должны согласиться с этим сейчас.
@ DavidKuridža Как насчет генерации ключа во время выполнения, например, с меткой времени? Тогда ключ не будет показан в файле. Является ли это возможным?