Android应用程序安全

Question

我想开发一个用户数据非常敏感的应用程序。我对开发还不熟悉。因此，不能确定以下技术是安全或高效所必需的。请留下你的评论。提前谢谢。

1. 为了获得额外的安全性，我们可以避免市场(播放商店)，并在单个设备上安装应用程序。它能让它更安全吗？
2. 我得把数据存储在设备上。我们如何使数据安全，使其他应用程序无法读取它？

Answer 1

1. 是的，无需使用Google应用程序就可以安装应用程序。这是否更安全取决于您的安全需求。一般来说，从Google安装应用程序比从其他来源安装应用程序安全得多。如果您想避免任何类型的安装，可以考虑使用/实现应用程序阻止程序(例如AppLock)或Kiosk模式应用程序(SureLock Kiosk封锁)。 安装的应用程序越少，您拥有的潜在攻击者(恶意软件、木马、潜在的不需要的程序)就越少。所以从这个角度来看:是的，是的。但是，只要您没有根设备，应用程序数据(数据库、首选项)无论如何都是相当安全的。写入SD卡的数据可以加密。
2. 谈到非根设备，：应用程序数据(首选项和数据库)是以相当安全的方式保存的。没有其他应用程序可以访问它。写入SD卡的数据可以从任何具有android.permission.READ_EXTERNAL_STORAGE或android.permission.WRITE_EXTERNAL_STORAGE权限的应用程序中读取。你必须加密这些数据。 查看根设备：您几乎没有机会以安全的方式存储数据，因为用户/攻击者可以安装任何工具来分析完整的内存和存储。几乎意味着，您可以尽可能好地隐藏加密/解密算法，这样就很难对SD上的数据进行解密。最后，这只是努力破解你的加密。

p.s.如果你想深入了解技术细节，你可以看看这本书。

p.p.s.只需想一想:有人偷了你的手机，并把你的手机打了根。在这种情况下，盗窃很容易复制数据库并读取表中的所有内容。让我补充一句:这是一件非常容易做到的事情，因为现在互联网上有很多用于生根的工具和手册；事后访问应用程序数据也是如此。

加密可能会使读取应用程序数据变得更加困难，如果您在每次启动应用程序时向用户询问加密密码，它甚至可能是100%安全的(假设一个强大的密码没有存储在应用程序中，而应用程序在盗用时没有运行)。当然，您也必须选择一个强加密算法(AES、Twofish、.)。

然而，只要你不放松你的手机和手机没有根，你的数据是安全的-最有可能。我说，很可能是因为过去存在许多漏洞，这使得系统范围的访问成为可能。

因此，这在很大程度上取决于您的需求和您的数据的敏感程度。