Android端末上にデータを安全に保存する方法ってあるの？

わかめ@毎日猫がいる @vvakame

_◯＿_

わかめ@毎日猫がいる @vvakame

1.4.2でちゃんといけた。よいこよいこ。

わかめ@毎日猫がいる @vvakame

んー。ソース中にベタ書きした文字列リソースも観測できたなー…。当然だけど。

わかめ@毎日猫がいる @vvakame

【緩募】Android端末内に何らかのデータを保持する方法。いかなる手法でも攻撃者からデータを守れないことを示したい。SharedPreference, SQLite, リソースxml, Javaコードべた書き その他なんかある？あとはNDKでC文字列埋込 くらいしか思いつかない

(っ’ヮ’c) ＜ ★しっぽ @ryosms

@vvakame バイナリファイル書き出し

わかめ@毎日猫がいる @vvakame

追記 データ自体を暗号化する。というのは禁じ手とします。(JavaでもCでも解析して復号化可能で手間が増える以上の意味を持たないので) ベストプラクティスとしてメモリ上にデータ保持する。必要があればサーバから都度fetchする。に落ち着くのかなぁと思ってるんだけど穴あるかな？

やなぎ @sobachanko

@vvakame 文字列限定？あとはassetsにテキストファイルぐらいしか思いつかん

わかめ@毎日猫がいる @vvakame

@ryosms バイナリファイル書き出しも一種の暗号化で、JavaソースとかCソースちゃんと解析すれば攻撃可能だよね？(手間の掛かりっぷりがスゴくなるだけ)

わかめ@毎日猫がいる @vvakame

@sobachanko どんなデータでもいいけど。今は説明する時の規模考えて動画データとかだと話ややこしいから文字列だけ。assetsって安全なん？

わかめ@毎日猫がいる @vvakame

assetsもちょっと調査対象に加えないとだなー。

inuchin @inuchin

@vvakame assetsの中身は、appをzipにリネームすれば丸見えなのがよくわかると思うよ

inuchin @inuchin

@vvakame app->apk

(っ’ヮ’c) ＜ ★しっぽ @ryosms

@vvakame そうですねー。「確実に保護は無理」ってのに同意した上でなるべく解析の手間をかけさせる方向の提示でした

やなぎ @sobachanko

@vvakame いや、全然安全じゃないよｗ候補として出しただけで、普通にAPKをZIPとして解凍したら中身丸見えｗ

しんすく(け) さん。 @snsk

@vvakame 端末内 を拡大解釈だけど、ブラウザのcookie, L2cache. webdatabase,webstorageは使えないぽいので除外。

Metaphor @metaphoricwords

@vvakame root奪取してメモリダンプすれば、ほとんどの情報はとれるかと。実際にrootを取るマルウェアは既に出まわっています。

わかめ@毎日猫がいる @vvakame

@inuchin あーやっぱ生で持ってるのかー。res/raw とかは zip 圧縮らしいけどなーってのは聞いたことあったわ。試してみるー。

わかめ@毎日猫がいる @vvakame

@ryosms あぃあぃ、承知ー。ありがとね！

わかめ@毎日猫がいる @vvakame

@sobachanko まじでｗｗｗｗｗわかったー！

わかめ@毎日猫がいる @vvakame

@snsk WebView？

inuchin @inuchin

@vvakame apkそのものがzipファイルだと思う。dec<->classも変換できるので、Androidバイナリ上で鍵持ったら、速攻で抜かれると思うよ。例え暗号化してても。

しんすく(け) さん。 @snsk

@vvakame うにゅ。またはchrome lite。

inuchin @inuchin

@vvakame dec -> dex typoが酷いな、今の俺

わかめ@毎日猫がいる @vvakame

@inuchin それは知ってるわー。zipっていうかjarでしょ？認識齟齬なさそで安心したー。

miyagi389 @miyagi389

@vvakame android 3.0から、ストレージの暗号化ができるようになったらしいけど、使えるのかねえ http://t.co/EVzhODDc