まず、私の経歴を少し説明します。私は10年以上にわたって大規模なWebシステムに取り組んできましたが、Androidは過去2か月間私が注目してきたものです。ご想像のとおり、ギャップはかなり広いです:)
ドキュメントのAndroidのセキュリティとアクセス許可とデータストレージの部分を見て、開発者と直接話し、本やチュートリアルを読んで、モデル全体がどのように機能するかはかなり明らかです。ただし、SQLiteファイルとSharedPreferencesファイルが、暗号化されていないデリケートな情報(OAuthトークンなど)を格納するのに十分な安全性があるかどうかについては、答えを見つけることができませんでした。誰かが何らかの方法でそれらをつかむことは可能ですか?Androidのドキュメントの引用:
アプリケーションによって保存されたデータには、そのアプリケーションのユーザーIDが割り当てられ、通常は他のパッケージにアクセスできません。
それは私に追加の白髪を与える通常はアクセスできない部分です:)
ありがとう、役立つ答えをいただければ幸いです:)
誰かが何らかの方法でそれらをつかむことは可能ですか?
それは誰かによって異なります。ブロフ氏が指摘するように、root化された電話のユーザーは彼らが望むものを何でも手に入れることができます。通常のユーザーや他のアプリケーションは、デフォルトではできません。
それは私に追加の白髪を与える通常はアクセスできない部分です:)
デフォルトでは、ファイルは安全です。必要に応じて、それらを誰でも読み取り可能または誰でも書き込み可能にすることができます。
その場合、apkファイルを逆コンパイルして暗号化キーも見つけることはできませんか?
それはあなたが誰に対して防御しているかによります。他のアプリから防御している場合は、ユーザーに暗号化キーを提供してもらいます。ユーザーに対して防御している場合は、DRMのすべての実装が失敗するのと同じように、失敗します。
さて、市場にはたくさんのSharedPreferencesエディターアプリがあるので、それらは間違いなく安全ではありません。また、ルート化されたデバイスでは、ユーザーが電話のファイルシステムに完全にアクセスできるため、データベースを簡単に削除できます。したがって、アプリを完全に保護する場合は、データを暗号化してください。