我目前正在写一篇关于Android漏洞的文章,我遇到了不安全的数据存储漏洞。我对这个话题很陌生,虽然我读了很多帖子和文章,看了很多视频,但有一件事让我不确定。如果应用程序存在这样的漏洞,例如将敏感数据以纯文本形式存储在shared preferences或XML文件中,这些文件是否可以在没有手机root/越狱的情况下访问?到目前为止,我认为他们不能,尽管我还没有找到任何明确的证据来证明这是真的。
我很抱歉问了一个可能有点愚蠢的问题,但我感谢任何善意的回答或帮助。
非常感谢!
共享首选项是存储在应用程序的存储区域的xml文件,权限只允许linux级别的用户读取/写入它们。Android上的每个应用程序都有自己的linux级别用户。所以,不,没有根或漏洞,应该不可能读取共享首选项。(例外-全局读/写共享首选项曾经是可能的,如果你显式地使用它。但从来没有人建议过。
也就是说,你不能假设用户不会root你的手机。或者该操作系统不是故意破坏某些东西的AOSP变体。所以,如果你不相信用户会提供一段数据,你也不应该相信共享偏好。但可以肯定的是,如果没有root或特权桥漏洞,其他应用程序无法访问它。