近日,一款盗取用户 WhatsApp 聊天记录的 Android 游戏被谷歌从其 Google Play 商店移除,这款游戏甚至还将窃取的这些用户隐私上传到一个网站上。
可以看到这几行代码的作用:
1)读取存储在SD卡上的文件;
2)读取用户手机号
3)存储在云端,对外销售。客户可以按照手机号检索需要的内容。
其实很早就有人爆了**的聊天记录第三方软件可以读取。但**给出的答案是:这是Android的安全机制缺省的机制造成的,SD卡不设防!!
对此我的看法就是一个字“操”!
| Android应用安装的流程及路径: |
data/app 用户程序安装的目录
Data/dalvik-cache 将apk中的dex文件安装到dalvik-cache目录下
Android为持久化的保存数据提供了几种可选择的方案。:
用键-值对的形式保存私有的原始数据。
在设备内存中保存私有数据。
在共享的外部存储器上保存公共的数据
在私有的数据库中保存结构化的数据
在Web上用你自己的网络服务器来保存数据。
可以把文件直接保存在设备的内部存储器上。默认情况,保存在内部存储器上的文件是你的应用程序私有的,并且其他的应用程序(或其他的用户)不能访问它们。
以下是在内部存储器上创建和写入私有文件的方法:
可以调用带有文件名称和操作模式参数的openFileOutput()方法,该方法会返回一个FileOutputStream对象。
MODE_PRIVATE会创建一个文件,并让它成为你的应用程序私有文件。其他有效的模式包括:MODE_APPEND,MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE。
Google Android手机的软件为了安全性和稳定性都是默认安装到手机内存里,但是手机内存有限,所以我们会做app2sd操作,来让我们安装的软件放到sd卡上。
在Android 2.2之后的版本允许将应用程序安装于SD卡,每一个安装在SD卡的应用程序,都可以在SD卡中的/sdcard/.android_secure 目录里找到名称中有出现它的程序名,和副文件名为asec的经过特殊加密处理后的档案。当SD卡挂载于手机时,/mnt/sdcard/.android_secure 目录会被映射到/mnt/asec 目录和 /mnt/secure 目录。其中/mnt/asec 目录中主要是程序的安装目录,包括其执行文件和lib文件等;而/mnt/secure 目录中就存放程序加密后的档案。
加密密钥:/data/misc/systemkeys/ AppsOnSD.sks
应用包被解密:/ mnt/ ASEC/应用程序包-1/pkg.apk
加密的应用程序包名:/ mnt/secure/ ASEC/应用程序包-1.asec
解决思路:
1)不要保存在SD上
2)加密保存在SD上,可能存在的性能?
3)类似于app2sd,mount为其它用户不可读!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
