大话无线客户端安全之数据存储安全——Android篇

1 前言

       随着无线客户端的火热发展，大家往往将所关注的重点放到了业务本身上，而忽视了安全问题。但是随着近年来各种层出不穷的与客户端相关的攻击事件以及安全漏洞的曝出，客户端安全已经不容忽视，忽视了安全必将会受到安全的惩罚。

       而在各种安全之中数据安全更是重中之重，毫不夸张的说数据安全可以说是无线客户端安全的灵魂。用户的重要数据一旦损失掉，将会对应用乃至企业造成巨大的负面影响。例如去年发生的CSDN的用户名密码泄露事件；和无线客户端相关的有Skype Android版的用户密码、信用卡号泄露事件等，对于企业造成了不可估量的损失。

        前面会简单介绍一下文件存储可能存在的风险，后续会给出由于不注意这些安全问题在集团内和其他公司内所引发的血淋淋的例子。

        不过大家了解之后主要是为了保护我们自身客户端的安全以及一些功能的攻击手法，不要干坏事哦O(∩_∩)O~

2 Android客户端安全风险

        Android客户端上数据的存储主要分为四种：内部数据存储、外部数据存储、数据库数据存储、Content Provider数据存储(其中数据库的安全问题会有一篇文章单独介绍、Content Provider的安全问题将会列入到组件安全的文章中去)

2.1 内部数据存储

       内部数据存储主要分为两种方式：SharedPreference存储和文件存储。

       内部数据存储的安全问题主要需要注意的是创建的模式以及向文件中写入的内容。

       SharedPreference : 是一种轻量级的数据存储方式，它的本质是基于XML文件存储key-  value键值对数据，通常用来存储一些简单的配置信息。

       File : 即常说的文件（I/O）存储方法，常用存储大量的数据。

       内部数据存储通常较为安全，因为他们可以受到Android系统的安全机制的保护。

       Android的安全机制本质上就是Linux的安全机制，系统会为在Android系统上运行的每一个app创建一个进程，并为该进程分配一个UID。Android系统将会为每一个app创建一个特定的目录/data/data/app_package_name，这个目录的权限只与UID相关，且只有UID关联的用户才有该目录相关的权限。

       因此，在对应目录下生成的SharedPreference文件与File文件如果以正确的方式去创建将会受到Android系统权限机制的保护。

       这个正确的创建方式是指文件创建的模式，SharedPreference与文件的创建模式主要有以下三种：

2.1.1 SharedPreference数据存储实例

创建SharedPreference所使用的API为：

public abstract SharedPreferences getSharedPreferences (String name, int mode)

 

 创建后的文件的路径为/data/data/com.yaotong.andgoat/shared_prefs/userinfo.xml

 查看所创建的文件的权限可以通过两种方式

1.通过DDMS查看，可以看到图中紫色的方框为应用的权限，对于owner及owner所在组具有rw的完全的读写权限，而对于others用户是没有任何权限的

2.通过Shell来查看，可以看到通过shell查看看到的权限是与ddms中看到的权限是完全相同的，这样代表应用是安全的

2.1.2 SharedPreference攻击实例

下面我来模拟一下攻击者来盗取以MODE_PRIVATE模式和非MODE_PRIVATE模式所创建的文件会出现什么样的效果

(1).盗取以MODE_PRIVATE模式所创建的文件

盗取的代码如下所示：

当点击按钮盗取信息的时候，出现了如下的提示信息'Attempt to read preferences file /data/data/com.yaotong.andgoat/shared_prefs/userinfo.xml without permission'，可以看到权限不够，无法读取文件

(2).盗取以非MODE_PRIVATE模式所创建的文件(MODE_WORLD_READABLE)

可以看到这时候others组有了对该文件读的权限

再次点击按钮盗取信息，发现盗取成功

2.1.3 总结

由上面的分析我们可以得出几个重要的安全相关的结论：

(1).创建文件时的权限控制

       如果在创建文件的时候没有注意控制权限，那么该文件的内容将会被其他的应用程序所读取，这样就造成了用户相关信息的泄露，SharedPreference中存储的往往是一些免登token、session id等和用户身份息息相关的重要信息，因此在创建的时候一定要注意选取好创建的模式；注意免登token也一定要具有时效性，否则与存储了明文的用户名、密码无异。

(2).SharedPreference中不要存入明文密码等重要信息

       由于有root的存在，那么root过后的手机就打破了Linux提供的沙箱机制，那么无论我们以何种方式去创建SharedPreference都已经不在安全了，如果存储的是用户明文的密码，那么用户的密码将会泄露，因此绝对不要向SharedPreference中写入任何无时效性的重要的数据；

2.1.4 File存储实例

创建文件所使用的API为：

public abstract FileOutputStream openFileOutput (String name, int mode)

        由于SharedPreference的本质就是一个xml文件，只是Android系统单独为它提供了一些列便于操作的API，因此文件存储的本质与SharedPreference完全相同，所面临的安全风险和注意事项与SharedPreference完全相同，在此不再赘述。

       唯一的区别是在读取文件的时候我们在SharedPreference中使用了系统的操作

SharedPreference的相关API，而在这里，我们完全采用JAVA I/O的方式去操作文件，例子如下所示：

2.2 外部数据存储

       外部存储，通常是指将数据存入到设备的SD卡上。

       外部存储是一种不安全的数据存储机制，因为存储到SD卡上的文件默认是提供给others读文件的权限的，设备上安装的其他app只要在其AndroidMenifest.xml上声明如下的语句<uses-permission android:name='android.permission.WRITE_EXTERNAL_STORAGE'></uses-permission>，那么该app就具有了对于SD卡的完全的读写权限，即是说一个app放在SD卡上的任何数据都可以被其他的app进行读/写操作，所以将重要数据存储在SD卡上具有相当大的安全隐患。

2.2.1 外部数据存储实例

操作界面和代码如下所示：当点击存储按钮的时候，'yaotong|tbsec'字符串将会被存储到相应的SD卡目录下的userinfo.txt文件中

相关代码：

查看SD卡中文件的方法：

通过shell查看，可以看到SD卡下所有目录others都具有读的权限

接下来查看我们所创建的文件，发现文件others拥有读的权限

2.2.2 总结

由上面的分析我们可以得出如下的安全结论：

(1).存储在SD卡中的数据是不安全的

       SD卡中所创建的文件默认对于others具有可读的权限，这就意味着你存储在SD卡上的一切内容是可以被其他应用所读取的；此外，只要app在其AndroidMenifest.xml文件中声明了写SD卡的权限，那么你存储在SD卡上的数据也都可以被人修改。所以，一定不要在SD卡上存储任何重要的数据，SD卡上的数据是不受Linux默认保护机制保护的。

3 和数据存储相关的客户端安全事件

不要以为安全很遥远，安全就在你的身边，包括一些大厂商都发生过类似的安全事件，我们要引以为鉴，不让类似的问题发生在我们的身上。

内部数据存储安全事件：

网易Android客户端导致账号密码泄露

传送门：http://www.wooyun.org/bugs/wooyun-2010-010056

Android手机明文存储使用过的wifi密码

外部数据存储安全事件：

手机QQ2012(Android 3.0)导致用户聊天记录泄露

传送门：http://www.wooyun.org/bugs/wooyun-2010-012838

小米MIUI系统造成用户大量敏感数据泄露

传送门：http://www.wooyun.org/bugs/wooyun-2010-08187