Sicurezza di Android SharedPreference

Mi chiedo della sicurezza delle preferenze condivise.

È possibile accedere alle preferenze condivise, anche se sono state create in MODE_PRIV (0)?
È possibile elencare tutte le preferenze condivise disponibili e quindi recuperare tutte le impostazioni da altre app?
Sharedpreferences è un buon posto per inserire dati sensibili, come password o token di autenticazione?

Grazie

Le preferenze condivise vengono memorizzate come file nel filesystem sul dispositivo. Per impostazione predefinita, sono archiviati nella directory dei dati dell'app con le autorizzazioni del file system impostate che consentono solo all'UID con cui viene eseguita l'applicazione specifica di accedervi. Quindi, sono privati ​​in quanto i permessi dei file Linux ne limitano l'accesso, come su qualsiasi sistema Linux / Unix.

Chiunque abbia accesso a livello di root al dispositivo sarà in grado di vederli, poiché root ha accesso a tutto sul filesystem. Inoltre, qualsiasi applicazione che viene eseguita con lo stesso UID dell'app di creazione sarebbe in grado di accedervi (questo di solito non viene fatto ed è necessario intraprendere un'azione specifica per far funzionare due app con lo stesso UID, quindi questo probabilmente non è un grande preoccupazione). Infine, se qualcuno fosse in grado di montare il filesystem del tuo dispositivo senza utilizzare il sistema operativo Android installato, potrebbe anche bypassare le autorizzazioni che limitano l'accesso.

Se sei preoccupato per tale accesso alle tue preferenze (o ai dati scritti dalla tua applicazione), allora vorrai crittografarlo. Se sei così preoccupato per loro, dovrai capire esattamente quanta protezione è necessaria per il livello di rischio che vedi. C'è una discussione molto ampia su questo in Application Security for the Android Platform , appena pubblicato nel dicembre 2011 (disclaimer: sono l'autore di questo libro).

Le preferenze condivise non sono altro che file XML nei tuoi telefoni / dati / dati / cartella, quindi qualsiasi applicazione o utente con privilegi di superutente su un dispositivo rooted può accedere alle tue preferenze condivise, anche se sono state create con MODE_PRIV

C'è ancora un modo per proteggerlo da tutti ... Per favore controlla questo link. Qui puoi memorizzare i dati in pref con crittografia, la classe è autoesplicativa e molto facile da usare.

https://github.com/sveinungkb/encrypted-userprefs

Come detto da altri chiunque può accedervi ma in questo caso nessuno può leggere i dati al suo interno in quanto crittografati. Quindi è sicuro Per la massima sicurezza il mio suggerimento sarà di generare la chiave utilizzata per la crittografia in fase di esecuzione piuttosto che codificarla. Ci sono molti modi per farlo :)

Normalmente no, non possono essere acceduti da altre app, tuttavia, dovresti notare che SharedPreferences sono archiviate come file XML nella /data/data/directory, il che significa essenzialmente che qualsiasi applicazione con privilegi di superutente su un dispositivo rooted può accedere alle tue SharedPreference, anche se lo fossero creato conMODE_PRIV

È possibile accedere alle preferenze condivise, anche se sono state create in MODE_PRIV (0)?

Per codice No. Ma è possibile recuperare il file dell'applicazione se si dispone dei privilegi di super utente.

È possibile elencare tutte le preferenze condivise disponibili e quindi recuperare tutte le impostazioni da altre app?

Se sei un super utente (dispositivi rooted), puoi estrarre tutti i file privati ​​dell'app.

Sharedpreferences è un buon posto per inserire dati sensibili, come password o token di autenticazione?

No. Può essere facilmente violato. Se desideri inserire dati sensibili in un file di preferenza condiviso, puoi crittografare i dati e archiviarli. È possibile memorizzare la chiave di crittografia in NDK / server.