Насколько безопасны файлы SQLite и SharedPreferences на Android?
Во-первых, немного моей предыстории. Я работаю над большими веб-системами более десяти лет, Android - это то, на что я смотрел последние два месяца; как вы понимаете, разрыв довольно велик :)
Глядя на часть документации Android Безопасность и разрешения и Хранение данных , общение напрямую с разработчиками, чтение книг и руководств, довольно ясно, как работает вся модель. Тем не мение, Мне не удалось найти ответ, достаточно ли безопасны файлы SQLite и SharedPreferences для хранения деликатной незашифрованной информации (например, токенов OAuth). Можно ли их как-нибудь схватить? Цитата из документации Android:
Любым данным, хранящимся в приложении, будет назначен идентификатор пользователя этого приложения, и они обычно недоступны для других пакетов.
Это , обычно недоступная часть, дающая мне дополнительные седые волосы: )
Спасибо, полезные ответы приветствуются :)
2 ответа
Можно ли их как-нибудь захватить?
Это зависит от кого-то. Как указывает г-н Буров, пользователи рутированных телефонов могут получить все, что захотят. Обычные пользователи и другие приложения не могут по умолчанию.
Эта обычно недоступная часть вызывает у меня дополнительную седину :)
По умолчанию файлы защищены. Вы можете сделать их доступными для чтения или записи для всего мира, если хотите.
Можно ли в таком случае декомпилировать apk-файл и найти ключ шифрования?
Это зависит от того, от кого вы защищаете. Если вы защищаете от других приложений, попросите пользователя предоставить ключ шифрования. Если вы защищаете от пользователя, вы облажались, как облажались все реализации DRM.
Ну, на рынке есть множество приложений-редакторов SharedPreferences, поэтому они определенно небезопасны. Также на корневых устройствах база данных может быть легко снята, поскольку пользователь имеет полный доступ к файловой системе телефона. Следовательно, если вы хотите, чтобы ваше приложение было полностью защищено, зашифруйте свои данные.