Android Paylaşılan Tercih güvenliği

Paylaşılan tercihler güvenliğini merak ediyorum.

MODE_PRIV (0) içinde oluşturulmuş olsalar bile paylaşılan tercihlere erişim elde etmek mümkün müdür?
Mevcut tüm paylaşılan tercihleri ​​listelemek ve ardından diğer uygulamalardan tüm ayarları almak mümkün müdür?
Paylaşılan tercihler, parola veya kimlik doğrulama belirteci gibi hassas verileri koymak için iyi bir yer mi?

Teşekkürler

Paylaşılan Tercihler, cihazdaki dosya sisteminde bir dosya olarak saklanır. Varsayılan olarak, uygulamanın veri dizininde, yalnızca belirli uygulamanın birlikte çalıştığı UID'nin bunlara erişmesine izin veren dosya sistemi izinleri ile depolanır. Dolayısıyla, herhangi bir Linux / Unix sisteminde olduğu gibi, Linux dosya izinleri bunlara erişimi kısıtladığı için özeldirler.

Cihaza kök düzeyinde erişimi olan herkes, kök dosya sistemindeki her şeye erişebildiği için bunları görebilir. Ayrıca, oluşturulan uygulama ile aynı UID ile çalışan herhangi bir uygulama bunlara erişebilir (bu genellikle yapılmaz ve iki uygulamanın aynı UID ile çalışmasını sağlamak için belirli bir işlem yapmanız gerekir, bu nedenle bu büyük olasılıkla büyük değildir. ilgilendirmek). Son olarak, eğer birisi cihazınızın dosya sistemini kurulu Android işletim sistemini kullanmadan bağlayabildiyse, erişimi kısıtlayan izinleri de atlayabilir.

Tercihlerinize (veya uygulamanız tarafından yazılan herhangi bir veriye) bu tür erişim konusunda endişeleriniz varsa, şifrelemek isteyeceksiniz. Onlar hakkında bu kadar endişeliyseniz, gördüğünüz risk seviyesi için tam olarak ne kadar korumanın gerekli olduğunu bulmanız gerekecektir. Bununla ilgili olarak , henüz Aralık 2011'de yayınlanan Android Platform için Uygulama Güvenliği'nde çok kapsamlı bir tartışma var (sorumluluk reddi: Bu kitabın yazarıyım).

Paylaşılan Tercihler, telefonlarınızdaki / verilerinizdeki / verilerinizdeki / klasörünüzdeki XML dosyalarından başka bir şey değildir, bu nedenle, köklü bir cihazda süper kullanıcı ayrıcalıklarına sahip herhangi bir uygulama veya kullanıcı, MODE_PRIV ile oluşturulmuş olsalar bile, Paylaşılan Tercihlerinize erişebilir.

Yine de onu herkesten korumanın bir yolu var ... Lütfen bu bağlantıya göz atın. Burada verileri şifreleme ile önceden saklayabilirsiniz, sınıf kendi kendini açıklayıcıdır ve kullanımı çok kolaydır.

https://github.com/sveinungkb/encrypted-userprefs

Başkalarının söylediği gibi, herkes ona erişebilir ancak bu durumda şifreli olduğu için kimse içindeki verileri okuyamaz. Onun secure.For Yani azami güvenlik önerim çalışma zamanında yerine sert kodlama de şifreleme için kullanılan anahtar oluşturmak olacaktır. Bunu yapmanın birçok yolu var :)

Normalde, hayır, onlar ancak, SharedPreferences XML dosyaları olarak saklanır dikkat etmelidir, diğer uygulamalar tarafından erişilemez /data/data/olduğunu esasen vasıta dizinde, herhangi birlikte uygulama superuser hakları bir üzerinde köklü cihazla olabilir sizin erişmek SharedPreferenceolduklarını bile, s ile oluşturulduMODE_PRIV

MODE_PRIV (0) içinde oluşturulmuş olsalar bile paylaşılan tercihlere erişim elde etmek mümkün müdür?

Kodla Hayır. Ancak süper kullanıcı ayrıcalığına sahipseniz uygulama dosyasını alabilirsiniz.

Mevcut tüm paylaşılan tercihleri ​​listelemek ve ardından diğer uygulamalardan tüm ayarları almak mümkün müdür?

Süper kullanıcıysanız (köklü cihazlar), uygulamanın tüm özel dosyalarını çekebilirsiniz.

Paylaşılan tercihler, şifre veya kimlik doğrulama belirteci gibi hassas verileri koymak için iyi bir yer mi?

Hayır. Kolayca hacklenebilir. Herhangi bir hassas veriyi paylaşılan öncelik dosyasına koymak isterseniz, verileri şifreleyebilir ve depolayabilirsiniz. Şifreleme anahtarınızı NDK / sunucuda saklayabilirsiniz.