本文介绍了Android应用中使用openFileOutput进行内部文件存储时可能存在的安全风险,尤其是当设置为MODE_WORLD_READABLE或MODE_WORLD_WRITEABLE时,可能导致敏感信息泄露和数据篡改。检测方法包括检查openFileOutput的权限参数,而修复方案建议将权限设为MODE_PRIVATE或MODE_APPEND以确保数据安全。
OpenFileOutput存储风险简介
Android应用内部文件是指/data/data/packageName/files路径下的文件,openFileOutput方法可以对内部文件的数据进行读写操作。
通过ContextWrapper类的openFileOutput方法或者Context类的openFileOutput方法中的第二个参数mode设置文件的权限。
- Mode为MODE_PRIVATE或者MODE_APPEND时,其他程序无法对该文件进行操作。
- Mode为MODE_WORLD_READABLE或者MODE_WORLD_WRITEABLE时,其他应用可以读写该文件
/**
* Open a private file associated with this Context's application package
* for writing. Creates the file if it doesn't already exist.
*
* <p>No permissions are required to invoke this method, since it uses internal
* storage.
*
* @param name The name of the file to open; can not contain path
* separators.
* @param mode Operating mode. Use 0 or {@link #MODE_PRIVATE} for the
* default operation, {@link #MODE_APPEND} to append to an existing file,
最低0.47元/天 解锁文章
533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
