检测Android本地存储是否有敏感信息

最新推荐文章于 2025-03-11 19:27:31 发布
转载 最新推荐文章于 2025-03-11 19:27:31 发布 · 762 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/mysticbinary/articles/10489605.html
文章标签:

#移动开发 #数据库 #shell

目录

Android本地存储数据的地方

  • 内存
    Internal Storage

  • SQLite

  • Shared Preferences

  • 内部存储-硬盘

  • 外部存储(SDcard)

  • 其它

如何读取

简单粗暴

adb shell 
su root # 必须root
cd ...


内存

因为Android将应用程序存储在内存中(即使在使用后),直到内存被回收,加密密钥可能会保留在内存中。 发现或窃取设备的攻击者可以附加调试器并从应用程序转储内存,或者加载内核模块以转储内存中的全部内容。

如果应用程序容易出现缓冲区溢出,格式化字符串,数据泄露和其他漏洞,这可能是一个安全问题,这可能允许攻击者转储进程的内存以恢复敏感信息。


SQLite

读取 /data/data/[package name]/databases/[databasename.db]


Shared Preferences

该存储方式通常用来存储应用的配置信息

读取 /data/data/[package name]/[shared_prefs]


内部存储

不同手机位置稍微不同
/mnt/sdcard/Android/data/[package name]/cache
/mnt/sdcard/Android/data/[package name]/
/storage/emulated/0/android/data/


外部存储(SDcard)

/storage/*


其它

最后可以检查本地的其它地方的文件夹、文件是否有泄漏敏感信息,可以通过关键字检索的方式。

程序检测

程序检测的特征是什么呢?

检测哪里写入了文件,就报警。

转载于:https://www.cnblogs.com/mysticbinary/articles/10489605.html

[车联网安全自学篇] Android安全之APK内存敏感信息泄露挖掘「动态分析」
橙留香Park的博客
08-30 1088
静态分析可以帮助我们在代码中发现问题,但它不能提供关于数据在内存中实时暴露了多长时间的统计信息和泄露的具体敏感信息内容以及识别闭源依赖关系中的问题,这就需要我们使用动态分析APK应用程序来解决这个问题通过调试器/动态仪器进行实时分析分析一个或多个内存转储注:因为前者(通过调试器/动态仪器进行实时分析)更多的是一种通用的调试方法,所以我们将集中讨论后者(分析一个或多个内存转储)那么在检测APK应用程序时,内存搜索分析可让我们更加了解APK应用程序进程内存在内存中都做了什么?以及它是否会暴露什么?.......
[车联网安全自学篇] Android安全之APK内存敏感信息泄露挖掘「静态分析」
橙留香Park的博客
08-30 734
什么是进程内存?Android 上的所有应用程序都使用内存来执行正常的计算操作,就像任何普通的现代计算机一样。因此,有时敏感操作将在进程内存中执行也就不足为奇了。出于这个原因,重要的是,一旦相关的敏感数据被处理,它应该尽快从进程内存中释放出来注:我们可以通过内存转储以及通过调试器实时分析内存来检测APK应用程序的内存为什么要分析设备中的内存信息?先说说内存泄漏是指的是那些在堆里分配的、但是无法被释放或者无法被重新分配的内存。............
借助adb与gdb确认app内存缓存中是否存在用户敏感数据
dieman0446的博客
10-13 246
一、环境准备 1. 搭建adb调试桥可参考文章《ADB调试桥安装(方式二)》 2. 安装调试gdb工具可参考文章《移动设备中导入gdb调试工具》 二、测试执行 root@G808_3G:/system/bin # ps | grep com.baidu.superservice            ====》查找你要测试的目标进程 ps | grep com....
软件敏感性测试
weixin_30519071的博客
07-18 1167
一、软件敏感性概述 敏感性是指不同条件下和不同特定参数设置值对软件功能结果的影响。敏感性测试是为了发现在有效输入类中可能引起某种不稳定性或不正常处理的某些数据的组合而进行的测试,敏感性测试一般需进行: (1)发现有效输入类中可能引起某种不稳定型的数据组合的测试;(2)发现有效输入类中可能引起某种不正常处理的数据组合的测试。测试过程能发现微小的,甚至不起眼的错误。 软件的敏感性主要体...
你会如何存储用户的一些敏感信息,如登录的token
D_猿员的博客
04-01 2142
使用keychain来存储,也就是钥匙串,使用keychain需要导入Security框架 iOS的keychain服务提供了一种安全的保存私密信息(密码,序列号,证书等)的方式,每个ios程序都有一个独立的keychain存储。相对于 NSUserDefaults、文件保存等一般方式,keychain保存更为安全,而且keychain里保存的信息不会因App被删除而丢失,所以在 重装App后,k...
移动安全(5) - 敏感信息安全-文件存储权限和logcat日志
菜鸟的测试世界
04-13 2111
敏感信息安全主要检查客户端是否保存明文(或者容易被破解)的敏感信息,以及敏感信息的非授权访问。 目前安卓实现数据持久化的方式有4种:文件存储、SharedPreferences存储数据库存储、SD卡存储。因此咱们得先学习下安卓的数据存储(持久化)相关的知识。本着光说不练假把式,只看不练明天就忘的原则,还是结合具体代码例子来学习。前面说了,咱除了安卓手机之外对安卓一无所知,所以每次看安卓安全方面的东西,都会自己改app代码来做实验,这样更直观,更容易理解,也不容易忘~ 1. 文件存储权限 文件..
Android应用存储安全与加固.pdf
09-21
Android系统中,应用程序有多种方式来存储数据,包括内部存储、外部存储、SQLite数据库、SharedPreferences以及网络存储等。每种存储方式都有其适用场景和潜在的安全风险。 1. **内部存储**:这是Android提供的...
Android性能优化:存储优化(protobuf与mmkv)
最新发布
Ya-Jun 的博客
03-11 321
高效序列化:比XML小3-10倍,比JSON小2-5倍解析速度快:比XML快20-100倍语言中立:支持多种编程语言向前兼容:可以在不破坏现有应用的情况下更新数据结构在目录下创建user.protoMALE = 1;FEMALE = 2;MMKV是腾讯开源的一个基于mmap的高性能通用key-value组件,专为移动应用设计,用于替代SharedPreferences。高性能:基于内存映射(mmap),读写性能远超SharedPreferences多进程安全。
关于APP 内涉及用户个人敏感信息/权限的进一步整改
Jacinth40的博客
04-28 8650
前言: 有一段时间没更新关于用户隐私相关的内容了。随着去年 11 月《个人信息保护法》的更新,四部委和工信部又下达了一批新的标准,这一篇就是记录一下这半年来项目里关于保护用户隐私部分的优化。 一、用户未同意隐私政策之前收集用户敏感信息/权限 这个问题是比较普遍的,就是用户安装完 APP 之后,未点同意之前,收集了敏感信息/权限。 所以在用户点击同意之前,不可以有任何获取 Android ID、 IP、Mac 、用户账号密码等用户个人隐私信息行为出现,包括动态权限申请。包括在 SDCard 写入数据,
[车联网安全自学篇] Android安全之本地存储敏感信息挖掘「一」
橙留香Park的博客
08-15 461
在日常生活当中保护身份验证令牌、私人信息和其它敏感数据都是移动安全的关键,尤其是公共数据应该是对所有人可用,但敏感数据和私有数据必须加密保护,或者存储在设备存储之外,可以简单的理解为敏感数据含义是取决于APP处理敏感数据的方式。......
Android-SecureKeys以简单安全的方式存储敏感数据
08-13
SecureKeys 以简单安全的方式存储敏感数据
Android加密存储之Security源码分析和基本用法介绍|Android敏感信息通过AES256加密存储
qq_38237224的博客
10-10 1223
篇章目标要点 国家法律法规越来越注重用户信息安全的问题,针对敏感个人信息也要求实行必要的加密存储手段,比如针对手机号/身份证/密码等敏感信息需要进行加密存储Androidx提供了Security框架可以支持必要信息的加密和解密。 Security源码分析 Security的加密逻辑是在google开发的Tink框架中实现的,其关键的类和方法信息如下文所述。 其中StreamingAhead是一个接口类,其实现类包括AesCtrHmacStreaming和AesCtrHkdfStreaming分别对应的是两
保护内存中的敏感数据
greystar的专栏
09-06 3099
感觉安全方面很重要啊.看到好文章,大家分享一下了. 某些时候,我们需要在内存中保存一些非常敏感的数据,比如信用卡账号密码、软件注册码等等。那么危险随之而来,使用一些高级软件调试工具查看进程的内存数据,居心不良的人就会有机会拿到这些本该严格保密的数据。Microsoft Windows 2000 SP4 以上版本的操作系统提供了用于数据保护的 API —— DPAPI,我们可以使用 .NET
Android静态安全检查(十):Shared Preferences存储风险
不忘初心的专栏
07-08 2011
Shared Preferences存储风险简介Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。Shared Preferences是一种轻量级的基于XML文件存储的键值对(key-value)数据的数据存储方式,一般用于储存应用的配...
Android 存储用户信息
qq_40270751的博客
04-16 1322
Main.activitypackage cn.itcast.filesave;import java.io.FileInputStream;import java.io.FileOutputStream;import android.os.Bundle;import android.app.Activity;import android.content.Context;import androi...
利用 Android Keystore 系统 加密存储和解密敏感信息
code小生
08-06 1505
code小生,一个专注 Android 领域的技术平台公众号回复 Android 加入我的安卓技术群作者:Android征途_36b0链接:https://www.jia...
Internal Storage内部存储的读写步骤
whycmpx的博客
06-15 4917
一、写入步骤:    1、调用上下文对象的openFileOutput(文件名,文件的操作模式)返回文件输出流对象        fileOutputStream=this.context.openFileOutput("why.txt",Context.MODE_PRIVATE);    2、代用文件输出流对象的write(byte[] data) 将指定的数据写出到内部存储中        f...
Android 读取存储 检测,检测Android本地存储是否敏感信息
weixin_32108979的博客
05-26 420
目录Android本地存储数据的地方如何读取内存SQLiteShared Preferences内部存储外部存储(SDcard)其它程序检测Android本地存储数据的地方内存Internal StorageSQLiteShared Preferences内部存储-硬盘外部存储(SDcard)其它如何读取简单粗暴adb shellsu root # 必须rootcd ...内存因为Android将...
Android登录Demo实现用户信息本地保存
Android Studio具有代码补全、实时错误检测、模拟器等功能,是开发Android应用的首选工具。 5. 安全性和隐私保护 在实际的应用开发中,如何安全地处理用户的个人信息,尤其是敏感信息(如密码),是一个重要考量。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值