移动安全Android——客户端数据安全
本地文件权限配置
测试流程
(1)手机运行待测APP应用,adb执行命令找到APP包名
adb shell dumpsys activity top|findstr ACTIVITY
(2)adb shell 进入设备,以Root权限进入/data/data/package包名目录下
cd /data/data/package包名(APP包名)
(3)执行命令查看是否存在全局可读写文件
ls -lR
本地文件内容安全
测试流程
(1)将shared_prefs和databases两个文件夹拉到电脑进行敏感明文内容检查
adb pull /data/data/APP包名/shared_prefs 电脑路径
(2)如果出现权限不足,则可以先拉到/sdcard目录下再拉回电脑上
cp -r /data/data/APP包名/databases /sdcard
cp -r /data/data/APP包名/shared_prefs /sdcard#adb pull /sdcard/databases 电脑路径
adb pull /sdcard/databases C:\Users\xxxxx\Desktop
adb pull /sdcard/shared_prefs C:\Users\xxxxx\Desktop
(3)逐文件查看shared_prefs文件夹下是否存在敏感明文信息泄露
(4)Navicat逐文件查看databases文件夹下的数据库文件是否存在敏感明文信息泄露
本地日志内容安全
测试流程
(1)同样执行adb命令找到待测APP包名和进程号
adb shell dumpsys activity top|findstr ACTIVITY
(2)adb shell进入设备,通过logcat命令查看待测APP日志,手机APP进行登录/修改密码等敏感操作,观察日志输出是否存在敏感明文信息泄露
logcat --pid=19805