存储安全（一）

与很多应用一样，安卓 APP 也是有本地存储的。本地存储会涉及到两大方面的安全问题，存储的数据和存储的方式。存储数据的安全主要是指，本地数据库中是否存储了敏感信息，包括身份证号码、银行卡号、账号密码等。对于敏感数据的定义根据不同的业务场景会有不同，读者可以根据自身情况自行把握。存储方式的安全，主要是指如何进行敏感数据存储的，如是否对敏感数据做了明文存储，是否存在本地sql注入，是否对数据的访问权限做了合理控制等。

一、存储数据分析

在测试存储安全的时候，通常要先去用一遍 APP 的功能，很容易理解，只有你使用了 APP ，某些数据才会存储下来。

安卓 APP 的本地存储通常会在两个地方：内部存储和外部存储。内部存储通常是指手机本身的存储空间，而外部存储主要是指 sdcard 的存储空间。

1、内部存储

通常的存储位置为 /data/data/package name，以 wifi万能钥匙为例，其本地存储位置为 /data/data/com.snda.wifilocating。

从上图可以看到，在目录下有很多文件夹，用途如下：

app_bin：

app_webview ：webview本地缓存文件

cache： 缓存文件

databases：数据库文件

files：应用自己创建的文件

lib -> /data/app-lib/com.snda.wifilocating-1：so库文件

shared_prefs：Shared Preferences 文件

可以通过命令 adb pull /data/data/com.snda.wifilocating 将手机上的文件拉到本地进行分析。

首先为了分析方便，我们先在模拟器上安装一下 busybox。因为 android 系统虽然是基于linux的，但是很多基本命令都被阉割了，而busybox里面集成了常用的命令。

在 https://busybox.net/ 下载对应的文件，将文件 push 到手机

adb push busybox/data/tmp/busybox

adb shell 到手机，依次执行以下命令

root@test:/ # cd/data/tmp

root@test:/data/tmp# chmod 755 busybox

root@test:/data/tmp# ./busybox mount -o rw,remount /  

root@test:/data/tmp# ./busybox cp busybox /sbin

*.so 可以使用ida进行反编译查看其中的信息，也可以使用 linux 下的strings 命令来提取字符串信息。

*.xml 可以使用 notepad++进行分析。比如 mac.xml 文件中就存储了手机的 mac 地址信息。

*.db 可以使用 SQLite browser 来浏览分析。其官方地址为 http://sqlitebrowser.org/

*journa 为日志文件，一般无需分析

其他类型文件可以使用 notepad++ 查看或者自行搜索对应文件的打开工具。

2、外部存储

在分析外部存储的时候，首先去反编译一下 APK 文件，在AndroidManifest.xml 文件中查看一下是否申请了外部存储相关权限，如下：

如果没有申请相关权限，就可以不用去分析外部存储的文件了。

一般外部存储的目录为 /sdcard/Android/data/app pacakge name，比如 wifi万能钥匙的外部存储目录为/sdcard/Android/data/com.snda.wifilocating。其文件分析方法与内部存储一致。

3、其他文件

我们在进行敏感信息检查的时候，不要只局限于内部存储和外部存储。APK 文件本身包含的敏感信息我们也不应该错过，给出几个例子如下：

1）AndroidManifest.xml 文件

很多应用会在此文件中的 meta-data 标签中保存一些秘钥信息或者硬编码密码等等。

2）反编译后的代码文件中

比如说很多加密秘钥

3）其他任何可以分析的地方，比如资源文件、so库文件等等。

欢迎关注微信公众号 “安卓APP安全测试”