安卓遊戲盜取用戶 WhatsApp 聊天記錄 帶給我們的思考！

woff

近日，一款盜取用戶 WhatsApp 聊天記錄的 Android 遊戲被谷歌從其 Google Play 商店移除，這款遊戲甚至還將竊取的這些用戶隱私上傳到一個網站上。

可以看到這幾行代碼的作用：
1）讀取存儲在SD卡上的文件；
2）讀取用戶手機號
3）存儲在雲端，對外銷售。客戶可以按照手機號檢索需要的內容。

其實很早就有人爆了**的聊天記錄第三方軟件可以讀取。但**給出的答案是：這是Android的安全機制缺省的機製造成的，SD卡不設防！！
對此我的看法就是一個字「操」!

Android應用安裝的流程及路徑：

system/app系統自帶的應用程序，無法刪除

data/app 用戶程序安裝的目錄

data/data 存放應用程序的數據

Data/dalvik-cache 將apk中的dex文件安裝到dalvik-cache目錄下

Android為持久化的保存數據提供了幾種可選擇的方案。：

Shared Preferences

用鍵-值對的形式保存私有的原始數據。

Internal Storage

在設備內存中保存私有數據。

External Storage

在共享的外部存儲器上保存公共的數據

SQLite Databases

在私有的數據庫中保存結構化的數據

Network Connection

在Web上用你自己的網絡服務器來保存數據。



可以把文件直接保存在設備的內部存儲器上。默認情況，保存在內部存儲器上的文件是你的應用程序私有的，並且其他的應用程序（或其他的用戶）不能訪問它們。
以下是在內部存儲器上創建和寫入私有文件的方法：
可以調用帶有文件名稱和操作模式參數的openFileOutput()方法，該方法會返回一個FileOutputStream對象。
MODE_PRIVATE會創建一個文件,並讓它成為你的應用程序私有文件。其他有效的模式包括：MODE_APPEND,MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE。

Google Android手機的軟件為了安全性和穩定性都是默認安裝到手機內存裡，但是手機內存有限，所以我們會做app2sd操作，來讓我們安裝的軟件放到sd卡上。
在Android 2.2之後的版本允許將應用程序安裝於SD卡，每一個安裝在SD卡的應用程序，都可以在SD卡中的/sdcard/.android_secure 目錄裡找到名稱中有出現它的程序名，和副文件名為asec的經過特殊加密處理後的檔案。當SD卡掛載於手機時，/mnt/sdcard/.android_secure 目錄會被映射到/mnt/asec 目錄和 /mnt/secure 目錄。其中/mnt/asec 目錄中主要是程序的安裝目錄，包括其執行文件和lib文件等；而/mnt/secure 目錄中就存放程序加密後的檔案。


/mnt/asce實際上對應的真正物理目錄是/mnt/sdcard/.android_secure(記住android_secure前有個點,這是個隱藏目錄)



應用程序保存到SD卡是在每一個終端隨機生成的加密密鑰進行加密。
加密密鑰：/data/misc/systemkeys/ AppsOnSD.sks
應用包被解密：/ mnt/ ASEC/應用程序包-1/pkg.apk
加密的應用程序包名：/ mnt/secure/ ASEC/應用程序包-1.asec

解決思路：
1）不要保存在SD上
2）加密保存在SD上，可能存在的性能？
3）類似於app2sd，mount為其它用戶不可讀！