Insecure Data Storage - Part 3

Temporary Internal File Storage Risk

PreviousInsecure Data Storage - Part 2 NextInsecure Data Storage - Part 4

Last updated 4 years ago

Was this helpful?

Insecure Data Storage - Part 3

Temporary Internal File Storage Risk

Pendahuluan

Android menyediakan opsi untuk menyimpan file sementara (temporary file) secara lokal di dalam penyimpanan internal. Biasanya file ini digunakan untuk mencatat error, log, atau lainnya.

File temporary ini disimpan di dalam direktori aplikasi sandbox, yaitu /data/data/AppPackageName/.

Mungkin saja developer melakukan kesalahan dengan menyimpan data sensitif pada file tersebut.

Penjelasan

Melihat Source Code

InsecureDataStorage3Activity.class

package jakhar.aseem.diva;

import android.content.Context;
import android.os.Bundle;
import android.support.v7.app.AppCompatActivity;
import android.util.Log;
import android.view.View;
import android.widget.EditText;
import android.widget.Toast;
import java.io.File;
import java.io.FileWriter;

public class InsecureDataStorage3Activity extends AppCompatActivity {
  protected void onCreate(Bundle paramBundle) {
    super.onCreate(paramBundle);
    setContentView(2130968613);
  }
  
  public void saveCredentials(View paramView) {
    EditText editText2 = (EditText)findViewById(2131493006);
    EditText editText1 = (EditText)findViewById(2131493007);
    File file = new File((getApplicationInfo()).dataDir);
    try {
      File file1 = File.createTempFile("uinfo", "tmp", file);
      file1.setReadable(true);
      file1.setWritable(true);
      FileWriter fileWriter = new FileWriter();
      this(file1);
      StringBuilder stringBuilder = new StringBuilder();
      this();
      fileWriter.write(stringBuilder.append(editText2.getText().toString()).append(":").append(editText1.getText().toString()).append("\n").toString());
      fileWriter.close();
      Toast.makeText((Context)this, "3rd party credentials saved successfully!", 0).show();
    } catch (Exception exception) {
      Toast.makeText((Context)this, "File error occurred", 0).show();
      Log.d("Diva", "File error: " + exception.getMessage());
    } 
  }
}

Setelah menganalisa source code di atas, terlihat bahwa credentials yang diinputkan user disimpan secara lokal pada file temporary yang di awali kata "uinfo" dan diakhiri kata "tmp".

Melihat File Temporary

Setelah mengetahui bahwa credentials disimpan pada file temporary, silahkan masuk ke direktori aplikasi sandbox dan tampilkan isi dari file tersebut.

cd /data/data/jakhar.aseem.diva/
cat <temporary-file>

Credentials yang disimpan oleh aplikasi bisa terlihat dengan jelas seperti contoh di atas. Ini membuktikan bahwa aplikasi ini tidak menyimpan credentials dengan aman.

Kesimpulan

Menyadari fakta tersebut, terdapat beberapa rekomendasi yang bisa developer lakukan, diantaranya:

Tidak menyimpan informasi sensitif apa pun secara lokal termasuk ke dalam file temporary.
Lakukan salting + hasing terlebih dahulu pada data sensitif sebelum disimpan.