Безпека Android SharedPreference

Мені цікаво щодо безпеки спільних переваг.

Чи можливо отримати доступ до спільних налаштувань, навіть якщо вони були створені в MODE_PRIV (0)?
Чи можливо перелічити всі доступні спільні налаштування, а потім отримати всі налаштування з інших програм?
Чи є спільним налаштуваннями гарне місце для розміщення конфіденційних даних, таких як пароль або маркер авторизації?

Дякую

Параметри спільного користування зберігаються як файл у файловій системі на пристрої. За замовчуванням вони зберігаються в каталозі даних програми з набором дозволів файлової системи, які дозволяють лише UID, з яким працює конкретна програма, для доступу до них. Таким чином, вони є приватними настільки, наскільки дозволи для файлів Linux обмежують доступ до них, як і в будь-якій системі Linux / Unix.

Будь-хто, хто має доступ до кореневого рівня до пристрою, зможе їх бачити, оскільки root має доступ до всього файлової системи. Крім того, будь-яка програма, яка працює з тим самим UID, що і додаток, що створює, змогла отримати доступ до них (зазвичай це не робиться, і вам потрібно вжити конкретних дій, щоб зробити два програми запущеними з однаковим UID, тому це, мабуть, не є великим турбота). Нарешті, якщо хтось зміг змонтувати файлову систему вашого пристрою без використання встановленої ОС Android, він також міг би обійти дозволи, що обмежують доступ.

Якщо ви стурбовані таким доступом до своїх уподобань (або будь-яких даних, написаних вашою заявою), вам потрібно буде зашифрувати їх. Якщо вас це турбує, вам потрібно буде розібратися, який саме захист необхідний для рівня ризику, який ви бачите. Про це йде дуже широка дискусія у програмі Безпека додатків для платформи Android , щойно опублікована в грудні 2011 року (відмова від відповідальності: я автор цієї книги).

SharedPreferences - це не що інше, як XML-файли у ваших телефонах / даних / даних / папки, тому будь-яка програма або користувач із привілеями суперпользователя на вкоріненому пристрої може отримати доступ до ваших SharedPreferences, навіть якщо вони були створені з MODE_PRIV

Проте є спосіб захистити його від усіх ... Будь ласка, перевірте це посилання. Тут ви можете зберігати дані в pref із шифруванням, клас зрозумілий для себе та дуже простий у використанні.

https://github.com/sveinungkb/encrypted-userprefs

За словами інших, кожен може отримати до нього доступ, але в цьому випадку ніхто не може читати дані всередині нього, оскільки вони зашифровані. Тому його secure.For Utmost безпеки мою пропозицію буде генерувати ключ , який використовується для шифрування під час виконання , а не жорстке кодування його. Є багато способів зробити це :)

Як правило, ні, вони не можуть отримати доступ до інших додатків, однак, слід зазначити, що SharedPreferences зберігаються у файлі XML як файли XML /data/data/, що по суті означає, що будь-яка програма з привілеями суперпользователя на вкоріненому пристрої може отримати доступ до вашого SharedPreferences, навіть якщо вони були створений сMODE_PRIV

Чи можливо отримати доступ до спільних налаштувань, навіть якщо вони були створені в MODE_PRIV (0)?

За кодом Ні. Але ви можете отримати файл програми, якщо у вас є привілейований супер користувач.

Чи можливо перелічити всі доступні спільні налаштування, а потім отримати всі налаштування з інших програм?

Якщо ви супер користувач (корінні пристрої), ви можете витягнути всі приватні файли програми.

Чи є спільним налаштуваннями гарне місце для розміщення конфіденційних даних, таких як пароль або маркер авторизації?

Ні. Його можна легко зламати. Якщо ви хочете розмістити будь-які конфіденційні дані у спільному файлі префренції, ви можете зашифрувати дані та зберегти. Ви можете зберігати ключ шифрування на NDK / сервері.