Quanto è sicuro lo storage privato di un'app mobile

4

Esistono difetti di sicurezza / hack per accedere all'archivio privato (file system o database SQLite) di applicazioni Android e iOS?

Quali misure adottano Google e Apple per "prevenire" questo tipo di attacchi o spetta allo sviluppatore dell'applicazione prendersi cura di questo?

Aggiornamento Questi file system / database sono crittografati?

    
posta Supercell 24.11.2013 - 13:26
fonte

2 risposte

4

Il file system su un dispositivo Android non è crittografato. iOS lo fa per impostazione predefinita. Tuttavia, si noti che una volta che si è in fase di esecuzione questo non è più rilevante. Proteggono solo dagli aggressori che hanno ottenuto l'accesso al telefono e hanno rimosso lo spazio di archiviazione per l'analisi.

Su Android, le applicazioni sono in modalità sandbox e finché non si esegue un dispositivo rooted un'applicazione non può accedere all'altra applicazione.

Generalmente, se vuoi crittografare il tuo database, dovrebbe essere fatto dall'applicazione stessa. Inoltre la tua chiave di crittografia dovrebbe essere derivata da una password che l'utente deve fornire ogni volta. La memorizzazione nella cache della password deve essere eseguita con attenzione poiché è possibile eseguirne il dump in fase di runtime. La password o la chiave non devono essere memorizzate sul dispositivo.

Nota che non esiste un modo infallibile per proteggere i tuoi dati una volta che un utente malintenzionato ha avuto accesso al telefono. Puoi renderlo solo un po 'più difficile, ma non impossibile.

    
risposta data 24.11.2013 - 16:00
fonte
3

Se i dati sono serviti dall'applicazione e memorizzati sul telefono cellulare, il proprietario del telefono può e avrà accesso ad esso in un modo o nell'altro. Puoi provare a utilizzare l'oscuramento nel modo più aggressivo possibile, i dati saranno accessibili.

Utilizzando la crittografia sul filesystem / database a cui accede l'applicazione significa che l'applicazione deve avere accesso alla chiave di crittografia, il che significa che è servita online, archiviata da qualche parte sul dispositivo o codificata nell'applicazione stessa. In tutti i casi precedenti, è completamente possibile acquisirlo e, quindi, accedere ai dati.

    
risposta data 24.11.2013 - 15:55
fonte

Leggi altre domande sui tag