[安卓安全] 01.安卓本地数据存储:Shared Preferences安全风险浅析

最新推荐文章于 2021-07-25 22:26:41 发布
最新推荐文章于 2021-07-25 22:26:41 发布
阅读量103 收藏
点赞数
文章标签: 移动开发 数据库
原文链接:http://www.cnblogs.com/superdo/p/4989641.html
版权

Android本地数据存储:Shared Preferences安全风险浅析

安卓Shared Preferences存储安全风险描述

Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage(内存储)、External Storage(外存储)等存储方式。Shared Preferences是一种轻量级的基于XML文件存储的键值对(key-value)数据的数据存储方式,一般用于储存应用的配置等信息。

Shared Preferences存储安全风险

  1. 开发者在创建文件时没有正确的选取合适的创建模式(MODE_PRIVATEMODE_WORLD_READABLE以及MODE_WORLD_WRITEABLE)进行权限控制。
  2. 开发者过度依赖Android系统内部存储安全机制,将用户信息、密码等敏感重要的信息明文存储在Shared Preferences文件中,导致攻击者可通过root手机来查看敏感信息。

在乌云漏洞平台上,存在大量Shared Preferences文件中明文存储个人身份信息、密码以及token等重要敏感信息导致泄露的漏洞,如网易阅读Android客户端漏洞导致账号密码泄漏、高朋团购网泄漏用户敏感信息、苏宁易购用户敏感信息泄露。

Shared Preferences存储安全影响范围

Android所有系统。

Shared Preferences存储安全风险详情

// 取得活动的preferences对象.
SharedPreferences uiState = act.getSharedPreferences(CONFIG_DATA, mode);
  1. 上面这段代码,是取得活动的preferences对象,如果是MODE_WORLD_READABLE模式创建Shared Preferences文件,其他应用对该文件具有可读权限。使用攻击代码,会查看到这个文件的数值。
  2. 若使用MODE_WORLD_WRITEABLE模式创建Shared Preferences文件并含有“android:sharedUserId”属性值,使得其他应用对该应用的Shared Preferences文件具备可写的权限。使用MODE_WORLD_WRITEABLE模式创建Shared Preferences,虽然其他应用不可读取该应用的Shared Preferences文件,但是如果恶意应用与该应用具有相同的“android:sharedUserId”属性值和签名key时,恶意应用即可对其Shared Preferences文件进行写操作,使用攻击代码,可以获取这个文件的读写权限并修改文件中的数值。
  3. 在具备root权限的程序或用户对任何应用程序通过任意模式创建的的Shared Preferences文件都具有可读可写的权限。使用攻击代码,可以任意读写应用创建的文件。

    root下可任意读写应用创建的Shared Preferences,因此不可将密码等用户敏感信息明文存储在其中。

Shared Preferences存储安全风险修复建议

  1. 避免使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的文件。
  2. 如果需要进程间数据共享,可考虑content provider。
  3. 避免将密码等敏感数据信息明文存储在Shared Preferences中。
  4. 避免滥用“android:sharedUserId”属性。

 

 

本站文章为 宝宝巴士 SD.Team 原创,转载务必在明显处注明:(作者官方网站: 宝宝巴士 
转载自【宝宝巴士SuperDo团队】 原文链接: http://www.cnblogs.com/superdo/p/4989641.html

 

 

转载于:https://www.cnblogs.com/superdo/p/4989641.html

weixin_30389003
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android 使用Shared Preferences进行数据存储-样例.rar
07-10
Android 使用Shared Preferences进行数据存储-样例,演示如何使用 Shared Preferences 获得数据和保存数据、如何使用getPreferences方法创建文件的模式,以及如何使用getPreferences模拟用户参数设置、查看 ...
shared library
Puten_20120813的博客
10-15 1057
http://www.360doc.com/content/13/0817/08/7377734_307736719.shtml 几个常用的命令: nm readelf strip ldd file shared library (.so) "Program Library Howto-Shared Libraries"是很好的材料, 下面的内容多是据此整理的. 定义: Shared li...
AndroidStudio生成安卓共享库(sharedlibrary
至淡以消忮心
07-25 4427
背景 因工作需要,想要在提供一种能力,供三方apk进行调用,通常的解决方式就是通过提供aar给到三方apk进行继承。但是这样的方式就会有一个明显的缺陷,就是在资源文件众多的时候,aar文件会变得非常大,进而导致三方apk的包体变大。这样显然是不利于三方进行接入,并且在多个apk集成后,同样的内容在同一个系统中打包了多份,这显然也不是我们想要的。这个时候,shared-library就十分符合我们的诉求。 网上搜索了半天,关于sharedlibrary实在是少之又少,因此经过一番周折以后,我觉得有必要..
关于shared library的描述
w_ww_w的专栏
11-23 6438
以前搞共享库动态加载管理时找的一些资料,放在这里共享。   引言: 在xmeeting中,关于usb手柄部分,采用动态库调用方式,下面翻译一篇David A. Wheeler写的文章。文章就如何创建和使用静态库,共享库以及动如何动态装载库进行了论述。内容纲要如下:  1.概述  2.静态库  3.共享库    3.1 约定        3.2 使用     3.3 环境变量
Android资源管理中的SharedLibrary和Dynamic Reference-------之AssetManager的处理(四)
大勇的专栏
07-14 1824
我们先简要说一下AssetManager的一些常识,后面会有文章详谈。 首先,AssetManager在构造的时候,会把系统资源包也就是framework-res.apk加载进去,这里所谓的加载,就是创建ResTable这个类的对象mResources,打开这个资源缩包,然后把里面的resources.arsc读到内存中去,然后解析,把对应的数据填入到mResour...
如何理解shared library
魂醉的一亩二分地
06-01 3813
共享库的作用是在编程中预先编译好的代码,可以在程序中重复使用,比如一些数学函数,可以不需要自己编写,直接调用相关函数即可实现,也就是一些通用的代码,我们就不用再重复造轮子去实现。 如libc是linux 中一个标准的c库,在linux中,支持两种类型的lib库: 静态库:在编译时候,静态绑定程序 动态或共享库:在启动程序并加载到内存时加载库到内存中,并在运行时进行绑定 共享库都是以.so结尾的文件。 linux上的共享库路径: 默认在/usr/local/lib, /usr/local/lib64, /
android 数据存储Shared Preferences
07-29
NULL 博文链接:https://byandby.iteye.com/blog/833292
Android代码-一个快速方便地访问Android Shared preferences 库。
08-06
FastSave is An Android library for fast and easy access to Android Shared preferences. It allows you to save any type or list in the sharedpreferences and retrieve it in convenient way. Installation ...
Android数据持久化之Preferences机制详解
01-21
Preferences是一种轻量级的数据存储机制,他将一些简单的数据类型的数据,包括boolean类型,int类型,float类型,long类型以及String类型的数据,以键值对的形式存储在应用程序的私有Preferences目录(/data/data/&...
Android资源管理中的SharedLibrary和Dynamic Reference-------之资源共享库(一)
大勇的专栏
07-09 5578
一.引言 共享库的概念,相信大家都有所了解,它有有许多优点。可以设想,在一个系统上要跑100个应用,并且它们都使用到了同一个库。如果这个库做成静态库,那么每个应用中都要打包一次这个库,100个应用就是100次,这无疑是重复的。我们可不可以在系统里只集成一次这个库呢,每个应用用到的时候再动态加载与链接,动态库的概念就这么产生了。现在,PC上Linux、Windows、Mac中动态库的...
Android资源管理中的SharedLibrary和Dynamic Reference-------之aapt的处理(二)
大勇的专栏
07-10 4471
前面我们讲过了资源共享库的概念和应用,现在我们来看看它是怎么实现的吧,顺便也能了解一下Android的资源管理中的一些机制。 这里面包括了两部分:资源共享库的编译和使用这个库的App的编译。我们仍旧以上一篇文章中framework里的那个项目为例来分别讨论。那个资源共享库的包名为:com.google.android.test.shared_library,项目路径为...
Android资源管理中的SharedLibrary和Dynamic Reference-------之Framework的处理(三)
大勇的专栏
07-12 2544
前面我们已经编译好了资源共享库lib-out.apk(包名:com.google.android.test.shared_library),已经引用这个共享库的应用app-out.apk(包名:com.google.android.test.lib_client),剩下的就是安装、运行起来了。这个自然不必说,但是运行的时候我们的这个App使如何加载我们的资源共享库的呢?还记不记得我...
Android NDK 如何使用自己的共享库
vrix的专栏
12-22 4584
Import Module NDK r5 支持预编译的共享库 所谓预编译的共享库,就是说你自己从其他地方找来的源码,编译出来的共享库。 这个共享库自己有,android 系统中没有。 使用方法如下: 1、声明一个共享库模块: 把这个共享库声明为 “一个” 独立的模块。 假如 libfoo.so 与 Android.mk 位于同一个目录。则 Android.mk
Android数据存储SharedPreferences及如何安全存储
05-15 211
前言: 最近一直在学习ios的数据存储,当学习到NSUserDefaults的时候让我回想起了SharedPreferences,今天闲来无事,想着总结一下SharedPreferences的使用。 什么是SharedPreferences存储SharedPreferences是基础key-value(键值对)来存储一些轻量数据存储方式,特别适用于保存软件...
Android本地数据存储Shared Preferences安全风险浅析
大水怪lzy的博客
05-03 4693
1. 安卓Shared Preferences存储安全风险描述       Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。Shared Preferences是一种轻量级的基于XML文件存储的键值对(key-value)数据
无线网络的各种安全性类型
热门推荐
小九的专栏
04-27 1万+
保护您的无线网络在家庭无线网络中,您可以使用不同的简单安全性措施来保护您的网络和连接。您可以: 启用 Wi-Fi 保护性接入(WPA)。 更改您的密码。 更改网络名称(SSID)。 Wi-Fi 保护性接入(WPA) 提供加密以帮助保护您在网络上数据。WPA 使用一种加密密钥(称为预配置共享密钥 )在数据传输之前对其加密。您需要在您的家庭或小商业网络上的所有计算机
Android Shared Preferences 安全
yuxiaohui78的专栏
01-09 789
Shared Preferences are stored as a file in the filesystem on the device. They are, by default, stored within the app's data directory with filesystem premissions set that only allow the UID that the s
Android静态安全检查(十):Shared Preferences存储风险
不忘初心的专栏
07-08 1802
Shared Preferences存储风险简介Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。Shared Preferences是一种轻量级的基于XML文件存储的键值对(key-value)数据数据存储方式,一般用于储存应用的配...
Android数据存储Shared Preferences
whilelie的专栏
04-11 757
1.编辑strings.xml Hello World, Data_SharedPreferencesActivity! Data_SharedPreferences 姓名 年龄 设置 读取 保存成功 保存失败 2.编辑main.xml <LinearLayout xmlns:android="http://schem
解决Android studio 的Caused by: org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed:报错
最新发布
12-15
出现Caused by: org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed:错误通常是由于Gradle版本不兼容或项目中的依赖项冲突引起的。解决此问题的方法如下: 1.检查le版本是否正确。可以在项目的build.gradle文件中找到Gradle版本。确保使用的Gradle版本与Android Studio版本兼容。可以在Gradle官网上查看Gradle版本和Android Studio版本的兼容性。 2.清除项目并重新构建。可以通过选择Build->Clean Project和Build->Rebuild Project来清除项目并重新构建。 3.检查项目中的依赖项是否存在冲突。可以在项目的build.gradle文件中查看依赖项。如果存在冲突,可以尝试升级或降级依赖项版本,以解决冲突。 4.检查项目中的代码是否存在语法错误。可以在Android Studio的“Messages”窗口中查看详细的错误信息,以确定是否存在语法错误。 5.尝试禁用Instant Run。有时,启用Instant Run会导致构建错误。可以在Android Studio的“Preferences”菜单中禁用Instant Run,然后重新构建项目。 以下是一个例子,演示如何解决Caused by: org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed:错误: ```groovy // 检查Gradle版本是否正确 buildscript { repositories { google() jcenter() } dependencies { classpath 'com.android.tools.build:gradle:4.1.0' } } // 清除项目并重新构建 // 选择Build->Clean Project和Build->Rebuild Project // 检查项目中的依赖项是否存在冲突 dependencies { implementation 'com.android.support:appcompat-v7:28.0.0' implementation 'com.android.support.constraint:constraint-layout:1.1.3' } // 检查项目中的代码是否存在语法错误 // 尝试禁用Instant Run // 在Android Studio的“Preferences”菜单中禁用Instant Run,然后重新构建项目 --相关问题--:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值