Android开发中的数据存储及其安全性分析
2016-03-08威海职业学院梁海丽
威海职业学院 梁海丽
Android开发中的数据存储及其安全性分析
威海职业学院 梁海丽
本文首先介绍安卓开发中三种主要的数据存储方式,给出关键代码,之后分析了数据存储方式存在的安全隐患,并给出安全建议。
安卓;安全;数据存储
数据是程序操作的对象,所有的应用中都会涉及到数据的存储,其安全性也显得尤为重要。在美国Verizon公司发布的《2015年度数据泄露调查报告》中称:2015年,全球61个国家出现79790起数据泄露事件,其中2122起已经得到确认。数据被泄漏到任何非授权方的事故即为数据泄露。这些数据泄露事件带来的后果是可怕而长期的。
数据安全得到越来越多关注,本文从软件开发的角度出发,以安卓系统为平台,从数据存储的角度分析数据安全性。在安卓应用开发中,数据存储主要有三种方式,一是使用偏好Shared-Preferences存储;二是使用文件存储;三是使用数据库存储,下面将详细分析每种存储方式,以及存在的安全隐患,并给出合理的安全建议。
1 主要的数据存储方法
1.1 使用偏好存储
使用偏好可存储少量数据,如应用程序的配置信息、程序过程产生的少量数据等,这类数据通常格式简单,如是否开启欢迎界面、用户名或密码等信息。SharedPreferences存储的是键值对,数据存储底层以xml文件存储,保存在/data/data/<应用包名>/shared_prefs目录之下。存储的主要代码如下:
SharedPreferences sp=getSharedPreferences("fileName",Context.MODE_PRIVATE);
Editor ed=mysp.edit();
ed.putInt("age",12);
ed.commit();
1.2 使用文件存储
1.2.1 内部存储
安卓中的文件存储类似于Java的文件存储,通过Java提供的IO流即可实现数据的访问,默认读写的文件都存储在/data/data/<包名>/files的文件下。存储的主要代码如下:
FileOutputStream fos=Context.openFileOutput(“filename”, Context.MODE_PRIVATE);
out.write(content.getBytes("UTF-8"));
out.close();
1.2.2 外部存储
除了可以将文件存储在内部存储区外,还可以将软件存储到外部SD卡上,SD卡上可存储较大的文件,存储数据的主要代码如下:
if(Environment.getExternalStorageState().equals(Environment. MEDIA_MOUNTED)){
File path=Environment.getExternalStorageDirectory();
FileOutputStream fo=new FileOutputStream(path.getCanonical-Path()+“filename”);
fo.write(content);
fo.close();}
读写SD卡时,需要在AndroidManifest.xml中,添加读写SD卡的相应权限。
1.3 使用数据库存储
SQLite是安卓系统自带的轻量级关系数据库,在应用中创建数据库后,相应的数据库文件是存储在/data/data/<应用包名>/databases/下。
SQLiteOpenHelper是安卓提供的一个用于创建数据库的工具类,开发时需要继承该类,通过该类的getReadableDatabase()或getWritableDatabase()方法获取用于操作数据库的SQLiteDatabase实例,然后通过该实例的executeSQL(String sql)方法执行SQL语句或通过insert、delete等方法完成数据相应操作。
2 各种存储方式安全性分析
不论何种存储方式,从存储位置上分为内部存储和外部存储两种方式,除了SD卡存储外,上述介绍的存储方式都属于内部存储。SD卡是一个公共的存储空间,没有读写权限的管理,安卓应用只需要声明 READ_EXTERNAL_STORAGE和WRITE_EXTERNAL_STORAGE权限,即可随意创建、修改位于外部存储中的任何文件。因此,在实际开发中,重要的数据应使用内部存储。
利用偏好和文件进行内部存储时,打开文件的方式有三种,除了上面代码中的私有模式外,还有如下两种:
Context.MODE_WORLD_READABLE;全局读,数据可被所有应用读;
Context.MODE_WORLD_WRITEABLE);全局写,数据可被所有应用读、写。
显然,如果将文件模式设为全局读或全局写,存在着数据泄露的危险,是极不安全的,这两种模式在sdk4.2中已经被废除了。其次,即使设为私有模式,数据也不是绝对安全的,攻击者通过获得root权限同样可以获取到存储的数据。因此,即使采用内部存储,对于重要、敏感数据,如密码、聊天记录等,也要避免明文存储,一定要加密后再存储,可以从一定程度上确保数据的安全性。
3 结论
在实际开发中,除了本文提到的数据存储安全外,还有很多影响安全的因素,比如清单文件中不必要的权限,通过网络明文传输敏感信息等。作为软件开发人员,要充分认识到安全开发的重要性,并在实际开发中采取有效措施,保证软件的安全性。
[1]张元亮.Android开发应用实战详解[M].中国铁道出版社, 2011.