✅نکته های امنیتی در برنامه نویسی اندروید
♦️بخش دوم
🔵 ذخیره داده ها
یکی از شایعترین نگرانی های امنیتی در برنامه های اندرویدی، این است که آیا داده های ذخیره شده در دستگاه کاربر، برای سایر برنامه ها قابل دسترسی هستند یا نه؟! سه روش اصلی برای ذخیره داده ها بر روی دستگاه وجود دارد:
1️⃣ فضای ذخیره ساز داخلی
به صورت پیش فرض، فایل هایی که شما بر روی حافظه داخلی دستگاه ایجاد می کنید، فقط از درون برنامه شما قابل دستیابی هستند. سیستم عامل اندروید این سطح حفاظتی را اجرا می کند و برای بیشتر برنامه ها کافی می باشد.
به طور کلی، از حالت های:
MODE_WORLD_WRITEABLE
و
MODE_WORLD_READABLE
برای فایل های IPCخودداری کنید، زیرا این دو روش، امکان محدود کردن دسترسی به داده ها را به برنامه های خاصی فراهم نمی کنند. هم چنین، هیچگونه کنترلی را بر روی فرمت داده ها ارائه نمی دهند.در عوض،
ازContent Provider استفاده کنید که مجوز خواندن و نوشتن را به برنامه های دیگر پیشنهاد می دهد و می توان مجوزهای پویا(در هر زمان که نیاز باشد) را به صورت موردی، اعطا کرد.
➕برای حفاظت بیشتر از داده های حساس، می توانید فایل های محلی را با استفاده از یک کلید که به طور مستقیم برای برنامه قابل دسترسی نیست، رمزنگاری کنید. به عنوان مثال، شما می توانید کلیدی را درKeyStore ذخیره کرده و آن را توسط رمزعبور کاربر(که در داخل دستگاه ذخیره نشده است) محافظت نمایید. گرچه این روش، از داده ها در قبال دسترسیRoot محافظت نمی کند و می توان با این دسترسی، رمزعبور ورودی کاربر را مانیتور کرد، اما می تواند دستگاه های گم شده ای را که بدون رمزنگاری فایل سیستم هستند را محافظت کند.
2️⃣ فضای ذخیره ساز خارجی
فایل هایی که بر روی فضای ذخیره ساز خارجی مانند کارت هایSD ایجاد می شوند، به صورت عمومی قابل خواندن و نوشتن می باشند. به دلیل اینکه فضای ذخیره ساز خارجی را می توان از دستگاه جدا کرد یا توسط هر برنامه ای، آن را تغییر داد، نباید داده های حساس را درون این فضا ذخیره کنید.
هر زمان که داده ها را از فضای ذخیره ساز خارجی مدیریت می کنید، باید اعتبارسنجی ورودی را انجام دهید. شما نباید فایل های اجرایی یا فایل های کلاس
را پیش از بارگذاری پویا(Dynamic Loading)، درون حافظه خارجی ذخیره کنید. اگر برنامه شما، فایل های اجرایی را از حافظه خارجی بازیابی کند، این فایل ها باید پیش از بارگذاری پویا، امضا شده باشند و از نظر رمزنگاری نیز تایید شده باشند.
↩️ادامه دارد...
#Android #Security #Privacy #Permission #Hack #Attack
اقتباس از dynamicClass
🆔 @AndroidStudyChannel
♦️بخش دوم
🔵 ذخیره داده ها
یکی از شایعترین نگرانی های امنیتی در برنامه های اندرویدی، این است که آیا داده های ذخیره شده در دستگاه کاربر، برای سایر برنامه ها قابل دسترسی هستند یا نه؟! سه روش اصلی برای ذخیره داده ها بر روی دستگاه وجود دارد:
1️⃣ فضای ذخیره ساز داخلی
به صورت پیش فرض، فایل هایی که شما بر روی حافظه داخلی دستگاه ایجاد می کنید، فقط از درون برنامه شما قابل دستیابی هستند. سیستم عامل اندروید این سطح حفاظتی را اجرا می کند و برای بیشتر برنامه ها کافی می باشد.
به طور کلی، از حالت های:
MODE_WORLD_WRITEABLE
و
MODE_WORLD_READABLE
برای فایل های IPCخودداری کنید، زیرا این دو روش، امکان محدود کردن دسترسی به داده ها را به برنامه های خاصی فراهم نمی کنند. هم چنین، هیچگونه کنترلی را بر روی فرمت داده ها ارائه نمی دهند.در عوض،
ازContent Provider استفاده کنید که مجوز خواندن و نوشتن را به برنامه های دیگر پیشنهاد می دهد و می توان مجوزهای پویا(در هر زمان که نیاز باشد) را به صورت موردی، اعطا کرد.
➕برای حفاظت بیشتر از داده های حساس، می توانید فایل های محلی را با استفاده از یک کلید که به طور مستقیم برای برنامه قابل دسترسی نیست، رمزنگاری کنید. به عنوان مثال، شما می توانید کلیدی را درKeyStore ذخیره کرده و آن را توسط رمزعبور کاربر(که در داخل دستگاه ذخیره نشده است) محافظت نمایید. گرچه این روش، از داده ها در قبال دسترسیRoot محافظت نمی کند و می توان با این دسترسی، رمزعبور ورودی کاربر را مانیتور کرد، اما می تواند دستگاه های گم شده ای را که بدون رمزنگاری فایل سیستم هستند را محافظت کند.
2️⃣ فضای ذخیره ساز خارجی
فایل هایی که بر روی فضای ذخیره ساز خارجی مانند کارت هایSD ایجاد می شوند، به صورت عمومی قابل خواندن و نوشتن می باشند. به دلیل اینکه فضای ذخیره ساز خارجی را می توان از دستگاه جدا کرد یا توسط هر برنامه ای، آن را تغییر داد، نباید داده های حساس را درون این فضا ذخیره کنید.
هر زمان که داده ها را از فضای ذخیره ساز خارجی مدیریت می کنید، باید اعتبارسنجی ورودی را انجام دهید. شما نباید فایل های اجرایی یا فایل های کلاس
را پیش از بارگذاری پویا(Dynamic Loading)، درون حافظه خارجی ذخیره کنید. اگر برنامه شما، فایل های اجرایی را از حافظه خارجی بازیابی کند، این فایل ها باید پیش از بارگذاری پویا، امضا شده باشند و از نظر رمزنگاری نیز تایید شده باشند.
↩️ادامه دارد...
#Android #Security #Privacy #Permission #Hack #Attack
اقتباس از dynamicClass
🆔 @AndroidStudyChannel
📚 The Busy Coder's Guide to Android Development
بهترین و کاملترین مرجع برنامه نویسی اندروید
بالغ بر 4200 صفحه
پشتیبانی تا اندروید نسخه 8
و پوشش کامل همه مباحث برنامه نویسی اندروید
سال 2017
#Android
⭕️ @AndroidStudyChannel
بهترین و کاملترین مرجع برنامه نویسی اندروید
بالغ بر 4200 صفحه
پشتیبانی تا اندروید نسخه 8
و پوشش کامل همه مباحث برنامه نویسی اندروید
سال 2017
#Android
⭕️ @AndroidStudyChannel
نام کتاب:
Pro Android with Kotlin Developing Modern Mobile Apps
نویسنده: Peter Späth
شمار برگها: 500
سال 2018
#Android #Kotlin
@AndroidStudyChannel
Pro Android with Kotlin Developing Modern Mobile Apps
نویسنده: Peter Späth
شمار برگها: 500
سال 2018
#Android #Kotlin
@AndroidStudyChannel
Forwarded from - Sec ⁴⁰⁴ -
Forwarded from - Sec ⁴⁰⁴ -
Android Development Whit Kotlin @SecBooks.pdf
4.9 MB
Forwarded from - Sec ⁴⁰⁴ -
Forwarded from - Sec ⁴⁰⁴ -
Kotlin for Android Developers @SecBooks.pdf
1.1 MB
Kotlin for Android Developers
→ Author: Antonio Leiva
→ Year: 2017
→ Pages: 191
→ Language: English
#Kotlin #Android
#SecBooks
📌 @AndroidStudyChannel
→ Author: Antonio Leiva
→ Year: 2017
→ Pages: 191
→ Language: English
#Kotlin #Android
#SecBooks
📌 @AndroidStudyChannel
👍2👏1