TShopping

 找回密碼
 註冊
搜索
查看: 283|回復: 0

[分享] 安卓遊戲盜取用戶 WhatsApp 聊天記錄 帶給我們的思考!

[複製鏈接]
發表於 2014-2-22 21:54:36 | 顯示全部樓層 |閱讀模式
 
Push to Facebook Push to Plurk Push to Twitter 
近日,一款盜取用戶 WhatsApp 聊天記錄的 Android 遊戲被谷歌從其 Google Play 商店移除,這款遊戲甚至還將竊取的這些用戶隱私上傳到一個網站上。

可以看到這幾行代碼的作用:
1)讀取存儲在SD卡上的文件;
2)讀取用戶手機號
3)存儲在雲端,對外銷售。客戶可以按照手機號檢索需要的內容。

其實很早就有人爆了**的聊天記錄第三方軟件可以讀取。但**給出的答案是:這是Android的安全機制缺省的機製造成的,SD卡不設防!!
對此我的看法就是一個字「操」!

Android應用安裝的流程及路徑:


system/app系統自帶的應用程序,無法刪除
data/app 用戶程序安裝的目錄

data/data 存放應用程序的數據
Data/dalvik-cache 將apk中的dex文件安裝到dalvik-cache目錄下

Android為持久化的保存數據提供了幾種可選擇的方案。:
用鍵-值對的形式保存私有的原始數據。
在設備內存中保存私有數據。
在共享的外部存儲器上保存公共的數據
在私有的數據庫中保存結構化的數據
在Web上用你自己的網絡服務器來保存數據。



可以把文件直接保存在設備的內部存儲器上。默認情況,保存在內部存儲器上的文件是你的應用程序私有的,並且其他的應用程序(或其他的用戶)不能訪問它們。
以下是在內部存儲器上創建和寫入私有文件的方法:
可以調用帶有文件名稱和操作模式參數的openFileOutput()方法,該方法會返回一個FileOutputStream對象。
MODE_PRIVATE會創建一個文件,並讓它成為你的應用程序私有文件。其他有效的模式包括:MODE_APPEND,MODE_WORLD_READABLEMODE_WORLD_WRITEABLE

Google Android手機的軟件為了安全性和穩定性都是默認安裝到手機內存裡,但是手機內存有限,所以我們會做app2sd操作,來讓我們安裝的軟件放到sd卡上。
在Android 2.2之後的版本允許將應用程序安裝於SD卡,每一個安裝在SD卡的應用程序,都可以在SD卡中的/sdcard/.android_secure 目錄裡找到名稱中有出現它的程序名,和副文件名為asec的經過特殊加密處理後的檔案。當SD卡掛載於手機時,/mnt/sdcard/.android_secure 目錄會被映射到/mnt/asec 目錄和 /mnt/secure 目錄。其中/mnt/asec 目錄中主要是程序的安裝目錄,包括其執行文件和lib文件等;而/mnt/secure 目錄中就存放程序加密後的檔案。


/mnt/asce實際上對應的真正物理目錄是/mnt/sdcard/.android_secure(記住android_secure前有個點,這是個隱藏目錄)



應用程序保存到SD卡是在每一個終端隨機生成的加密密鑰進行加密。
加密密鑰:/data/misc/systemkeys/ AppsOnSD.sks
應用包被解密:/ mnt/ ASEC/應用程序包-1/pkg.apk
加密的應用程序包名:/ mnt/secure/ ASEC/應用程序包-1.asec

解決思路:
1)不要保存在SD上
2)加密保存在SD上,可能存在的性能?
3)類似於app2sd,mount為其它用戶不可讀!


 

臉書網友討論
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2016-12-5 14:38 , Processed in 0.055641 second(s), 22 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表