0
好吧,讓我們說我的手機上有一個應用程序,它使用數據庫(SQLLite/RealmDb等)存儲應用程序使用的數據,然後一些不良實體(黑客)獲取我的無根電話和以某種方式獲得訪問權限。你可以在手機之間移動移動sql數據庫並使用它嗎?
如果實體可以反編譯代碼並創建自己的應用程序(或只是需要數據的部分)來使用數據庫,那麼他可以將數據庫從我的設備移動到另一設備上(或我的另一個應用程序設備,它並不重要),然後訪問/使用數據庫中的數據(數據是否被加密)?
舉例來說,只是獲得加密的數據並直接發送到休息API並獲取有效的響應。
是否存在對移動數據庫的「篡改連接」,因此無法在其他設備/應用程序沙箱中使用?它可能與數據庫和操作系統不同。
Desclaimer: 我所有的應用程序和API的使用JWT令牌和服務器端驗證和對HTTPS的頂部釘扎到證書服務器,所以我不要求最佳實踐的安全性。看看這個問題更像是一個需要我出售安全管理的問題,我試圖回答「可以這樣做嗎?」
如果他們可以獲得根訪問權限並保留數據,那麼只需轉到** data/data/bases_package_name/databases **並複製該文件,然後使用sqlite管理器來查看和操作數據庫即可。無論如何,這是SQLite的。我經常將SQLite數據庫複製到Windows並使用SQLite管理器(瀏覽器擴展),甚至有時操縱數據庫並反轉進程,然後在設備上獲取更改的數據庫(不知道IOS)。 – MikeT