2012/01/29

Androidのセキュリティ:SDカードへの保存とリスク


SDカードへデータを保存する場合には公開範囲に注意する必要があります。
adb shellより/mnt/sdcardでls -lコマンドを実行するとわかりますが、
外部記憶データファイルの所有者とグループはどのアプリが保存しても
systemとsdcard_rwになります。

外部記憶データへのアクセスはすべてのアプリケーションがアクセス可能です。
さらに、SDカードへの書き込みはWRITE_EXTERNAL_STORAGEパーミッションが
必要ですが、読み込みにパーミッションは必要ありません。

-SDカードのアクセス許可情報-
d---rwxr-x system   sdcard_rw          2011-12-12 13:26 Alarms
d---rwxr-x system   sdcard_rw          2012-01-10 12:12 DCIM

上記から、外部記憶データは抜き取られることを前提に考えて、個人情報や
秘匿が必要なデータはアプリデータ領域に保存するか、暗号化する等の対策
が必要です。

以上です。