モバイルアプリのプライベートストレージの安全性
AndroidおよびiOSアプリケーション)のプライベートストレージ(ファイルシステムまたはSQLiteデータベース)にアクセスするための既知のセキュリティ上の欠陥/ハッキングはありますか?
GoogleとAppleがこれらの種類の攻撃を「防止する」ために講じている対策は何ですか。それとも、アプリケーションの開発者がそれを処理するかどうかです。
更新これらのファイルシステム/データベースは暗号化されていますか?
Androidデバイスのファイルシステムは暗号化されていません。iOSではデフォルトで暗号化されています。ただし、実行時にこれは実際には関係ありません。アクセスを取得した攻撃者に対してのみ保護することに注意してください。電話に接続し、分析のためにストレージを削除しました。
Androidでは、アプリケーションはサンドボックス化されており、ルート化されたデバイスを実行していない限り、1つのアプリケーションが他のアプリケーションにアクセスできません。
一般に、データベースを暗号化する場合は、アプリケーション自体から行う必要があります。さらに、暗号化キーは、ユーザーが毎回提供する必要があるパスワードから導出する必要があります。パスワードは実行時にダンプできるため、パスワードのキャッシュは慎重に行う必要があります。パスワードまたはキーをデバイスに保存しないでください。
攻撃者が電話にアクセスした後でデータを保護するための絶対的な方法はないことに注意してください。少し難しくすることはできますが、不可能にすることはできません。
データがアプリケーションによって提供され、携帯電話に保存されている場合、電話の所有者は、何らかの方法でデータにアクセスできます。必要に応じて難読化を積極的に使用して、データwillにアクセスできます。
アプリケーションがアクセスするファイルシステム/データベースで暗号化を使用するということは、アプリケーションが暗号化キーにアクセスできる必要があることを意味します。つまり、オンラインで提供されるか、デバイスのどこかに保存されるか、アプリケーション自体にハードコードされます。これまでのすべてのケースで、データを取得してデータにアクセスすることは完全に可能です。