Android静态安全检查（十一）：openFileOutput存储风险

其他 2018-07-08 21:03:23 阅读次数: 0

OpenFileOutput存储风险简介

Android应用内部文件是指/data/data/packageName/files路径下的文件，openFileOutput方法可以对内部文件的数据进行读写操作。

通过ContextWrapper类的openFileOutput方法或者Context类的openFileOutput方法中的第二个参数mode设置文件的权限。

Mode为MODE_PRIVATE或者MODE_APPEND时，其他程序无法对该文件进行操作。
Mode为MODE_WORLD_READABLE或者MODE_WORLD_WRITEABLE时，其他应用可以读写该文件

    /**
     * Open a private file associated with this Context's application package
     * for writing.  Creates the file if it doesn't already exist.
     *
     * <p>No permissions are required to invoke this method, since it uses internal
     * storage.
     *
     * @param name The name of the file to open; can not contain path
     *             separators.
     * @param mode Operating mode.  Use 0 or {@link #MODE_PRIVATE} for the
     * default operation, {@link #MODE_APPEND} to append to an existing file,
     * {@link #MODE_WORLD_READABLE} and {@link #MODE_WORLD_WRITEABLE} to control
     * permissions.
     *
     * @return The resulting {@link FileOutputStream}.
     *
     * @see #MODE_APPEND
     * @see #MODE_PRIVATE
     * @see #MODE_WORLD_READABLE
     * @see #MODE_WORLD_WRITEABLE
     * @see #openFileInput
     * @see #fileList
     * @see #deleteFile
     * @see java.io.FileOutputStream#FileOutputStream(String)
     */
    public abstract FileOutputStream openFileOutput(String name, int mode)
        throws FileNotFoundException;

Mode默认值为MODE_PRIVATE，如果文件权限设置为MODE_WORLD_READABLE或者MODE_WORLD_WRITEABLE，就有可能导致敏感信息泄露和信息被篡改。

检测方法

检测调用ContextWrapper类的openFileOutput方法和Context类的openFileOutput方法地方，检查第二个参数Mode，判断是否是MODE_WORLD_READABLE或者MODE_WORLD_WRITEABLE，如果是这两个权限，则认为该应用数据存在被第三方应用读取和篡改风险。

修复方案

如果需要调用openFileOutput保存数据，则权限设置为MODE_PRIVATE或者MODE_APPEND或者默认，保证数据只能被当前应用读取。

猜你喜欢

转载自blog.csdn.net/u010889616/article/details/80962261

Android静态安全检查（十一）：openFileOutput存储风险

Android静态安全检查（十）：Shared Preferences存储风险

Android静态安全检查（十二）：内部SQLite存储风险

Android静态安全检查（十五）：WebView明文密码存储检测

Android 文件读写openFileInput、openFileOutput / SharedPreferences 存储

Android静态安全检查（九）：不安全的SDCard存储检测

Android静态安全检查（五）：Activity劫持

Android静态安全检查（六）：Service劫持

Android静态安全检查（一）:组件暴露

Android 静态安全检查 Service劫持

使用openFileInput和openFileOutput实现Android平台的数据存储

Android静态安全检查（四）：允许调试检测

Android静态安全检查（三）：允许备份检测

Android静态安全检查（八）：自定义Permission检测

Android静态安全检查（十六）：WebView跨域访问漏洞

Android静态安全检查（十四）：开放服务检测

Android Preference存储、res/raw、asset、openFileOutput、sdcard存储、Cache详解

Android ：数据存储方案学习笔记之文件存储（openFileOutput、openFileInput）

Android 静态代码检查

Android之FileOutputStream与openFileOutput()的区别

更安全的静态密钥存储方式及Android开发模式

Android静态安全检查（二）:Zip文件目录遍历攻击漏洞

Android静态安全检查（七）：Content Provider文件目录遍历漏洞

Android静态安全检查（十三）：剪切板使用检测

风险大脑-支付风险识别天池大赛（二）数据存储及检查

Android-文件读写[openFileInput、openFileOutput]

Android属性allowBackup安全风险浅析

车机--android安全[app风险]

Android代码检查——中风险日志分析（十七）

Android静态代码检查工具Lint

今日推荐

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

报告：Django 仍然是 74% 开发者的首选

《2024 年一季度互联网投融资运行情况》研究报告

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

GCC 14.1 发布

周排行

curl的POST请求，封装方法

8.1.1. Integer Types

Java基础 Day05(个人复习整理)

Python - Django - 中间件 process_exception

小L的试卷

【Shell编程】（函数）判断用户是否存在

python(css样式)

spring ant path 匹配原则 - 【笔记】

《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf

Eclipse运行带参数的java程序

每日归档

更多

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)

2024-05-04(7)

2024-05-03(19)