Насколько безопасны файлы SQLite и SharedPreferences на Android?

Question

Сначала немного моего фона.Я работаю над большими веб-системами более десяти лет, Android - это то, на что я смотрю последние два месяца;как вы можете себе представить, разрыв довольно большой:)

Рассматривая Android Безопасность и разрешения и Хранение данных часть документации, общение непосредственно с разработчиками, чтение книги учебники, довольно ясно, как работает вся модель.Однако я не смог найти ответ, достаточно ли безопасны файлы SQLite и SharedPreferences для хранения деликатной незашифрованной информации (например, токены OAuth).Может ли кто-нибудь их схватить?Цитирование документации Android:

Любым данным, хранящимся в приложении, будет присвоен идентификатор пользователя этого приложения, и он обычно недоступен для других пакетов.нормально доступная часть, дающая мне дополнительные седые волосы:)

Спасибо, полезные ответы приветствуются:)

Answer 1

Возможно ли, чтобы кто-то их схватил?

Это зависит от кого-то.Как указывает г-н Буров, пользователи рутованных телефонов могут получить все, что захотят.Обычные пользователи и другие приложения по умолчанию не могут.

Это обычно недоступная часть, дающая мне дополнительные седые волосы:)

По умолчанию файлы защищены.Вы можете сделать их доступными для чтения или записи для всего мира, если захотите.

Разве в этом случае не удастся декомпилировать файл apk и найти ключ шифрования?

Это зависит от того, от кого вы защищаетесь.Если вы защищаетесь от других приложений, попросите пользователя предоставить ключ шифрования.Если вы защищаетесь от пользователя, вы ввернуты, как и все реализации DRM.

Answer 2

Ну, на рынке есть множество приложений-редакторов SharedPreferences, поэтому они определенно не защищены. Также на корневых устройствах база данных может легко справиться, так как пользователь имеет полный доступ к файловой системе телефона. Следовательно, если вы хотите, чтобы ваше приложение было полностью защищено, зашифруйте свои данные.