【緩募】Android端末内に何らかのデータを保持する方法。いかなる手法でも攻撃者からデータを守れないことを示したい。SharedPreference, SQLite, リソースxml, Javaコードべた書き その他なんかある?あとはNDKでC文字列埋込 くらいしか思いつかない
2011-09-23 13:46:31追記 データ自体を暗号化する。というのは禁じ手とします。(JavaでもCでも解析して復号化可能で手間が増える以上の意味を持たないので) ベストプラクティスとしてメモリ上にデータ保持する。必要があればサーバから都度fetchする。に落ち着くのかなぁと思ってるんだけど穴あるかな?
2011-09-23 13:47:54@ryosms バイナリファイル書き出しも一種の暗号化で、JavaソースとかCソースちゃんと解析すれば攻撃可能だよね?(手間の掛かりっぷりがスゴくなるだけ)
2011-09-23 13:49:01@sobachanko どんなデータでもいいけど。今は説明する時の規模考えて動画データとかだと話ややこしいから文字列だけ。assetsって安全なん?
2011-09-23 13:49:41@vvakame そうですねー。「確実に保護は無理」ってのに同意した上でなるべく解析の手間をかけさせる方向の提示でした
2011-09-23 13:51:36@vvakame 端末内 を拡大解釈だけど、ブラウザのcookie, L2cache. webdatabase,webstorageは使えないぽいので除外。
2011-09-23 13:52:18@vvakame root奪取してメモリダンプすれば、ほとんどの情報はとれるかと。実際にrootを取るマルウェアは既に出まわっています。
2011-09-23 13:52:50@inuchin あーやっぱ生で持ってるのかー。res/raw とかは zip 圧縮らしいけどなーってのは聞いたことあったわ。試してみるー。
2011-09-23 13:54:29@vvakame apkそのものがzipファイルだと思う。dec<->classも変換できるので、Androidバイナリ上で鍵持ったら、速攻で抜かれると思うよ。例え暗号化してても。
2011-09-23 13:55:44@vvakame android 3.0から、ストレージの暗号化ができるようになったらしいけど、使えるのかねえ http://t.co/EVzhODDc
2011-09-23 13:56:59