【问题标题】:Android SharedPreferences vulnerabilitiesAndroid SharedPreferences 漏洞
【发布时间】:2021-03-26 22:26:42
【问题描述】:

我正在开发一个应用程序,用户可以在其中玩简单的游戏并通过每个游戏赚取积分。该应用程序由多个活动的开始和结束组成,每个活动都会发出更新用户信息的请求。

有多个使用此后向活动模板的服务器请求,所以我在考虑是否可以使用 SharedPreferences 保存点数并在最佳时间发出单个请求。

我担心的是:有人可以修改应用程序并更改其 SharedPreferences 点吗? SharedPreferences 是否存在任何漏洞?我害怕开始在 SharedPreferences 中保存用户积分,然后有人利用一些漏洞来欺骗他的积分。

【问题讨论】:

    标签: android sharedpreferences


    【解决方案1】:

    是否有任何关于 SharedPreferences 的漏洞

    是的,如果用户有 root 设备,他们可以轻松获取共享首选项文件并进行更新。

    您可以做的是使用EncrypedSharedPreferences 来存储数据,但一个好的规则是,如果您不希望某人可能访问他们不应该访问的内容,那么您不应该将其保留在设备上

    【讨论】:

    • 拥有root设备的用户可以自己更新代码吗?比方说,更改 web 请求中的 textview 值甚至参数?
    • 不是直接的,理论上他们可以反编译您的应用程序并通过更改重新编译它
    【解决方案2】:

    为了更难以从设备中提取,您可以将其存储在 Keystore 系统中。一旦密钥位于密钥库中,它们就可以用于加密操作,而密钥材料仍然不可导出。

    有关存储在密钥库中的更多信息,请查看以下链接 https://developer.android.com/training/articles/keystore

    【讨论】:

      猜你喜欢
      • 2017-02-28
      • 2017-01-19
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-06-05
      • 2017-06-08
      • 2012-10-13
      相关资源
      最近更新 更多