Android supporta il bellissimo concetto di Sandbox dell'applicazione , in modo che tutte le applicazioni vengano eseguite come un utente unico e nella propria sandbox. L'archiviazione locale dei dati in un dispositivo non rootato per applicazioni non debugabili non è normalmente accessibile. Tuttavia, se il dispositivo è rootato, il concetto di sandbox dell'applicazione viene compresso e l'applicazione installata può essere eseguita come utente "root" e può quindi accedere ai dati memorizzati da qualsiasi altra applicazione nella loro directory privata (/ data / data / package- nome)
L'archiviazione del token come testo normale nell'archivio dati locale (SharedPreferences) non è un'opzione sicura poiché è possibile accedere facilmente a un dispositivo non rooted. Si consiglia di crittografare il token utilizzando l'algoritmo di crittografia sicura e l'implementazione sicura nell'archivio dati locale.
- Utilizza un algoritmo di crittografia sicuro come AES-GCM-256 o ChaCha20-Poly1305 ecc.
- Utilizza PBKDF2 per derivazione di chiavi.
- Se necessario, memorizza la chiave di crittografia nei Keystore Android.