sdcard文件可以删除吗（sdcard大文件能清理吗）

一、前言

好久没有更新帖子了，最近一直都比较忙，这里首先祝大家元旦快乐。本文主要围绕Android APP漏洞中的信息泄露漏洞展开描述，因为挖掘Android APP信息泄露漏洞的思路各有差异，所以本文只是基于Android APP中较为基础的信息泄露的漏洞实例开始讲述。

本文第二节主要讲述Android中存储的基本方式

本文第三节主要讲述信息泄露漏洞的分类

本文第四节主要讲述漏洞的原因和具体复现

二、基础知识

APP 信息泄露漏洞往往和Android APP的数据存储方式有关，所以我们这里首先详细的了解Android的数据存储方式。我们知道Android中数据存储的方式共有五种，分别为：文件存储、SharedPreferences、SQLite数据库存储、ContentProvider、网络存储。

1.文件存储

下面我们将结合上面的思维导图依次讲解

（1）内部存储

内部存储一般存储一些应用的数据，如apk、shareprefence、database数据、webview缓存和图片缓存等等，内部存储一般存储在/data/下面，这些都需要用户获得root权限后才能访问到

我们以root权限的模式进入：

下面我们介绍常见的一些内部存储目录：

/data/app/ 存储着我们手机上安装的apk文件 /data/data/包名/share_prefs 存储对应的应用程序中的shareprefence存储文件 /data/data/包名/cache 存储对应的应用程序中的Cache缓存文件 /data/data/包名/databases 存储对应的应用程序中的数据库文件 /data/data/包名/files 存储对应的应用程序中的资源文件

内部存储的特点：

内部存储的文件和目录只能被我们的app自己所访问，别的app不能访问。内部存储中的私有目录，当用户卸载app之后，改文件目录中关于该应用的信息就会被删除。内部存储是可用的。内部存储大小有限，不适合存储大量数据。只有root的手机，才能从手机文件管理器看见，否则都是隐藏着的。（2）外部存储

Android4.4以前，手机自身的存储就叫内部存储，插入SD卡的存储叫外部存储，然而Android 4.4以后，手机自带的存储很大，因此现在的外部存储分为两部分：SD卡和扩展卡内存。外部存储一般分为两类，私有目录和公有目录，私有目录里面的数据会随着应用的卸载而删除，公有目录并不会

自身的外部存储目录：/storage/emulated/0/Android/data/packagename/Files

存储卡的存储目录：/storage/extSDCard/Android/data/packagename/files

外部存储的特点：

公有目录任何程序都可以访问，私有目录自身可以访问。并不一定是可用的，因为SD卡会被挂载。外部存储中的私有目录中的数据会随着应用的卸载而删除，公有目录则不会。<1> 私有目录

私有目录，在Android 4.4以上，不需要注册和用户授权SD读写的权限，就可以在应用的私有目录进行读写文件，文件不能被其他应用访问，用户删除应用时，对应的应用的私有目录也会被删除

私有目录地址：/storage/emulated/0/Android/data/packagename

相关API:

公共目录可以通过Environment对象，访问读写公共目录的文件

Environment.getExternalStorageDirectory() 访问外部存储设备公共根目录 Environment.getExternalStorageState() 获得外部存储SD卡的状态（3）系统存储目录

getRootDirectory()：对应获取系统分区根路径:/system getDataDirectory()：对应获取用户数据目录路径:/data getDownloadCacheDirectory()：对应获取用户缓存目录路径:/cache

补充：

（1）升级应用程序后的apk文件在哪？一般我们从服务器端下载的app需要放到外部存储目录下面，而不是内部存储目录，即/storage/emulated/0/Android/data/packagename下（2）清除数据和清除缓存的区别？清除数据清除的是保存在app中所有数据，就是上面提到的位于packagename下面的所有文件，包含内部存储(/data/data/packagename/)和外部存储(/storage/emulated/0/Android/data/packagename/)，但不会影响SD卡的数据缓存是程序运行时的临时存储空间，缓存文件存放在getCacheDir()或者 getExternalCacheDir()路径下（4）文件存储的读写方式

写入文件：

public void save(){ String data = "Data to save"; FileOutputStream out = null; ButteredWriter writer = null; try{ out = openFileOutput("data",Context.MODE_PRIVATE); //MODE_PRIVATE（默认）：覆盖、MODE_APPEND：追加 writer = new ButteredWriter(new OutputSreamWriter(out)); writer.write(data); }catch(IOException e){ e.printStackTrace(); }finally{ try{ if(writer!=null){ writer.close(); } }catch(IOException e){ e.printStackTrace(); } }

读取文件：

public String load(){ FileInputStream in = null; ButteredReader reader = null; StringBuilder builder = new StringBuilder(); try{ in = openFileInput("data"); reader = new ButteredReader(new InputStreamReader(in)); String line= ""; while((line = reader.readline()) != null){ builder.append(); } }catch(IOException e){ e.printStackTrace(); }finally{ if(reader != null){ try{ reader.close(); }catch(IOException e){ e.printStackTrace(); } } } }2.SharedPreferences

SharedPreference是Android平台上一个轻量级的存储类，主要是保存一些常用的配置比如窗口状态，是使用键值对的方式来存储数据，这样就可以支持多种不同的数据类型存储，进行数据持久化就会比文件方便很多

默认存储路径：/data/data/packageName/shared_prefs

获取SharedPreferences对象的方法

Context的getSharedPreferences()方法，参数一是文件名，参数二是操作模式 Activity的getPreferences()方法，参数为操作模式，使用当前应用程序包名为文件名 PreferenceManager的getDefaultSharedPreferences()静态方法，接收Context参数，使用当前应用程序包名为文件名（1）SharedPreferences数据的存取

SharedPreference的存储：

(1)根据Context获取SharedPreferences对象 (2)利用edit()方法获取Editor对象 (3)ditor对象存储key-value键值对数据 (4)apply()提交数据

public class MainActivity extends Activity { @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); //获取SharedPreferences对象 Context ctx = MainActivity.this; SharedPreferences sp = ctx.getSharedPreferences("SP", MODE_PRIVATE); //MODE_PRIVATE（默认）：只有当前的应用程序才能对文件进行读写、MODE_MULTI_PROCESS：用于多个进程对同一个SharedPreferences进行读写 //存入数据 Editor editor = sp.edit(); editor.putString("name", "Tom"); editor.putInt("age", 28); editor.putBoolean("married", true); editor.apply(); //返回STRING_KEY的值 Log.d("SP", sp.getString("name", "none")); //如果NOT_EXIST不存在，则返回值为"none" Log.d("SP", sp.getString("NOT_EXIST", "none")); } }

SharedPreference数据的读取：

SharedPreferences pref = getSharedPreferences("data",MODE_PRIVATE); String name = pref.getString("name"); int age = pref.getInt("age"); boolean isMarried = pref.getBoolean("isMarried");3. SQLite数据库存储

SharedPreferences对象与SQLite数据库相比，免去了创建数据库、创建表、写SQL语句等操作，但是其只能存储boolean，int，float，long和String五种简单的数据类型，而且SharedPreferences是以明文的形式存储密钥信息，往往存在一定的安全隐患。为此Android还提供了一个轻量级的数据库SQLite数据库，SQLite是轻量级嵌入式数据库引擎，它支持 SQL 语言，并且只利用很少的内存就有很好的性能

默认存储路径：/data/data/packagename/databases

（1）数据库的创建

Android 提供了SQLiteOpenHelper类帮助创建和升级数据库，SQLiteOpenHelper子类至少需要实现三个方法：

1.构造函数，调用父类SQLiteOpenHelper的构造函数。需要四个参数（上下文环境、数据库名称、查询数据的游标Cursor(通常为null)、当前数据库的版本号） 2.onCreate（）方法，它需要一个 SQLiteDatabase 对象作为参数，根据需要对这个对象填充表和初始化数据 3.onUpgrage() 方法，它需要三个参数，一个 SQLiteDatabase 对象，一个旧的版本号和一个新的版本号，这样就可以方便的实现数据库的升级

继承 SQLiteOpenHelper 创建数据库

public class MyDatabaseHelper extends SQLiteOpenHelper { //1.构造方法 MyDatabaseHelper(Context context, String name, CursorFactory cursorFactory, int version) { super(context, name, cursorFactory, version); } @Override public void onCreate(SQLiteDatabase db) { // TODO 创建数据库后，对数据库的操作 } @Override public void onUpgrade(SQLiteDatabase db, int oldVersion, int newVersion) { // TODO 升级数据库版本 } @Override public void onOpen(SQLiteDatabase db) { super.onOpen(db); // TODO 每次成功打开数据库后首先被执行 } }（2）数据库的更新

public class MyDatabaseHelper extends SQLiteOpenHelper{ ...... //当打开数据库时传入的版本号与当前的版本号不同时会调用该方法 @Override public void onUpgrade(SQLiteDatabase db, int oldVersion, int newVersion) { db.execSQL("drop table if exists Book"); onCreate(db): } }

只要我们在MainActivity中将version改为大于原来版本号，就可以让onUpgrade()方法得到执行

MyDatabaseHelper helper = new MyDatabaseHelper(this,"BookStore.db",null,2); helper.getWritableDatabase();（3）数据库的基本操作

添加数据：

SQLiteDatabase db = helper.getWritableDatabase(); ContentValues values = new ContentValues(); values.put("name","The Book Name"); values.put("author","chen"); values.put("pages",100); values.put("price",200); db.insert("Book",null,values);//参数一表名参数二未指定添加数据的情况下为NULL 参数三 ContentValues对象

更新数据：

SQLiteDatabase db = helper.getWritableDatabase(); ContentValues values = new ContentValues(); values.put("price",120); db.update("Book",values,"name= ?",new String[]{"The Book Name"}); //参数一表名参数二 ContentValues对象参数三、四是去约束更新某一行或某几行的数据，不指定默认更新所有

删除数据：

SQLiteDatabase db = helper.getWritableDatabase(); db.delete("Book","pages> ?",new String[]{"100"}); //参数一是表名，参数二、三是去约束删除某一行或某几行的数据，不指定默认删除所有

查询数据：

SQLiteDatabase db = helper.getWritableDatabase(); //query()方法，参数一是表名，参数二是指定查询哪几列，默认全部，参数三、四是去约束查询某一行或某几行的数据，不指定默认查询所有，参数五是用于指定需要去group by的列，参数六是对group by的数据进一步的过滤，参数七是查询结果的排序方式 Cursor cursor = db.query("Book",null,null,null,null,null,null); if(cursor.moveToFirst()){ do{ String name = cursor.getString(cursor.getColumnIndex("name"); String author = cursor.getString(cursor.getColumnIndex("author"); int pages = cursor.getString(cursor.getColumnIndex("pages"); double price = cursor.getString(cursor.getColumnIndex("price"); }while(cursor.moveToNext()); } cursor.close();

SQL语句操作数据库：

//添加数据 db.execSQL("insert into Book(name,author,pages,price) values(?,?,?,?) " ,new String[]{"The Book Name","chen",100,20}); //更新数据 db.execSQL("update Book set price = ? where name = ?",new String[] {"10","The Book Name"}); //删除数据 db.execSQL("delete from Book where pages > ?",new String[]{"100"}); //查询数据 db.execSQL("select * from Book",null);

使用事务操作：

SQLiteDatabase db = helper.getWritableDatabase(); db.beginTransaction(); //开启事务 try{ ...... db.insert("Book",null,values); db.setTransactionSuccessful(); //事务成功执行 }catch(SQLException e){ e.printStackTrace(); }finally{ db.endTransaction(); //结束事务 }

当然Android数据库中还包括LitePal数据库更加方便的操作，由于本文主要是介绍漏洞，所以这里就简单介绍到这里

4. ContentProvider

前面三种方式是Android中基本的存储方式，但是由于都存在一个公共的缺点：不能实现不同应用程序之间进行数据共享，大家都知道Android是采用沙箱的管理机制，不同的应用程序之间都是独立隔离开的，这一定程度上也是为了Android 应用之间的安全性考虑，但是如果应用之间不能很好的进行交互，那么很显然就带来了明显的不便，因此为了解决这个问题，内容提供器——ContentProvider就孕育而生了，由于前面我们有专门的章节讲述这一组件，所以本文只是简单描述，不详细了解，请参考Android APP漏洞之战（4）——Content Provider漏洞详解

主要作用：用于不同的程序之间实现数据共享的功能，并通过ContentResolver进行操作

ContentResolver使用方法：

（1）内容URI

//包名为com.example.app的表table1访问路径 Uri uri = Uri.parse("content://com.example.app.provider/table1");

（2）使用URI对象进行数据操作

查询

Cursor cursor = getContentResolver().query(uri,null,null,null,null); if(cursor != null){ while(cursor.moveToNext()){ String column1 = cursor.getString(cursor.getColumnIndex("column1")); String column2 = cursor.getString(cursor.getColumnIndex("column2")); } cursor.close(); }

插入

ContentValues values = new ContentValues(); values.put("column1","text"); values.put("column2",1); getContentResolver().insert(uri,values);5.网络存储

Android网络存储主要是通过网络来实现数据的存储和获取，这里主要调用WebService返回的数据或是解析HTTP协议实现网络数据交互，具体需要熟悉java.net.，Android.net.这两个包的内容，因为不是Android的主流存储方式，这里主要参考相应文档即可，也不是本文漏洞所关注的主要对象，就不做过多叙述了

网络存储需要开启权限：

<uses-permission android:name="android.permission.INTERNET"/>

具体可参考本文参考文献

三、信息泄露漏洞的安全场景和分类1.漏洞的安全场景

信息泄露漏洞往往是指APP开发过程中一些不安全的开发问题导致敏感信息的泄露，那我们首先可以将敏感信息进行分类：产品敏感信息和用户敏感信息

（1）产品敏感信息

产品敏感信息：登录密码、后台登录及数据库地址、服务器部署的绝对路径、内部ip、地址分配规则、网络拓扑、页面注释信息等

（2）用户敏感信息

用户的个人隐私信息泄露导致被恶意人员利用获取不当信息，例如用户的密码，账户信息等等

这些敏感信息泄露往往是由于信息未加密或存储位置不当造成：

代码中明文使用敏感信息，比如：服务器地址、数据库信息等数据库中明文保存敏感信息，比如：账号、密码、银行卡等 SD卡中保存敏感信息或隐私信息,比如：聊天记录、通讯录等日志打印敏感信息,比如：账号、密码明文传输敏感信息2.漏洞的分类

综上我们将Android中的信息泄露漏洞大致可分为：

四、信息泄露漏洞的原理分析和复现

本文为了简单演示各个漏洞的复现情况，将会使用样本DIVA.apk和一些实际漏洞的场景，样本将放到附件中

1. LogCat输出敏感信息漏洞（1）原理分析

在APP的开发过程中，为了方便调试，开发者通常会用logcat输出info、debug、error 等信息。如果在APP发布时没有去掉logcat信息，可能会导致攻击者通过查看logcat日志获得敏感信息

一般来说，LogCat敏感信息输出漏洞包括：

应用层Log敏感信息输出应用层System.out.println敏感信息输出系统bug异常导致Log输出 Native层敏感Log输出（2）漏洞案例——DIVA.apk例题1

首先，我们安装样本DIVA.apk

然后我们打开例题1，并开启日志监控

adb logcat |grep diva

我们在app表单总输入内容，check out后查看相关日志

我们就可以发现我们输入的密钥信息，然后我们根据日志信息，可以找到漏洞代码在LogActivity.class文件，我们查看相关代码：

这里相关代码就是将敏感信息给泄露，当然我们真实的app中不会这么简单，但这确实一个很好的思路，比如我们对我们分析的app中的敏感信息的函数进行hook或者通过插桩日志的信息，我们就可以成功获得敏感信息了

（3）安全防护

防护建议：

1.Android Studio中配置ProGuard实现release版apk自动删除Log.d()/v()等代码 2.使用自定义LogCat类，上线前关闭LogCat开关

public class LG{ //是否开启debug public static boolean isDebug = true; public static void e(Class<?> clazz,String msg){ if (isDebug){ //Log.e } } public static void i(Class<?> clazz,String msg){ if (isDebug){ //Log.i } } public static void w(Class<?> clazz,String msg){ if (isDebug){ //Log.w } } public static void d(Class<?> clazz,String msg){ if (isDebug){ //Log.d } } }2.硬编码问题漏洞（1）原理分析

一些开发人员，在开发时使用硬编码的方式，导致存在一定的安全风险，硬编码一般是指将输出或输入的相关参数以常量的方式编写在源代码中，这样导致逆向分析人员可以直接通过分析源码就可以获得敏感信息

（2）漏洞案例——DIVA.apk例题2（java层）

我们打开样本app的例题2

我们分析对应app相关的逆向代码：

我们可以发现相应的敏感信息被直接用来判断，采用硬编码的方式，我们直接将密钥输入，发现可以成功破译

（3）漏洞案例——DIVA.apk例题12（so层）

我们打开例题12

我们分析对应的代码段

说明key被保存在libsoName.so库中，我们将文件打开

经过分析，我们确定这就是我们的键值，我们输入

说明key放在so层中也是不安全的

（4）安全防护

1.对明文传输的密钥进行加密传输 2.采用变量的方式去读取，不采用硬解码的方式 3.对java层中进行混淆，对so层中进行ollvm控制流混淆3. Shared Preference全局可读写漏洞（1）原理分析

Shared Preferences存储安全风险在于：开发者在创建文件时没有正确的选择合适的创建模式（MODE_PRIVATE、MODE_WOELD_READABLE以及MODE_WORLD_WRITEABBLE）进行权限控制，导致将一些用户信息、密码等敏感信息存储在Shared Preferences文件中，攻击者可以通过root来查看敏感信息

（2）漏洞案例——DIVA.apk例题3

我们进入例题3：

我们分析对应的逆向代码：

经过我们前文的分析，很明显这里采用的是SharedPreference的存储方式

我们输入相关的账号和密码，然后我们可以进入shared_prefs查看相关的文件

（3）安全防护

防护意见：

1.避免使用MODEWORLDWRITEABLE和MODEWORLDREADABLE模式创建进程间通信的文件，此处即为Shared Preferences 2.不要将密码等敏感信息存储在Shared Preferences等内部存储中 3.避免滥用"Android:sharedUserId"属性 4.不要在使用“android:sharedUserId”属性的同时，对应用使用测试签名，否则其他应用拥有“android:sharedUserId"属性值和测试签名是，将会访问到内部存储文件数据 5.使用Secure Preferences第三方加固库进行存储4.数据库存储漏洞（1）原理分析

Database配置模式安全风险源于：

开发者在创建数据库（Database）时没有正确的选取合适的创建模式（MODE_PRIVATE、MODE_WORLD_READABLE）进行权限控制，从而导致数据库（Database）内容被恶意读写，造成账户密码、身份信息、以及其他敏感信息泄露，甚至攻击者进一步实施恶意攻击

（2）漏洞案例——DIVA.apk例题4

我们进入例题4

然后我们输入相关信息并保存

我们将数据库给拉取下来，然后使用SQLite查看

我们就可以发现敏感信息，我们可以分析对应的代码段

我们上文的存取数据库名也是从对应代码出找到

（3）安全防护

防护建议：

1.敏感信息在进行数据库存储时，对数据进行加密存储，并且应该避免弱加密或者是不安全的加密方式 2.对于敏感的数据库文件，不得使用MODE_WORLD_READABLE或者是MODE_WORLD_WRITEABLE进行创建5.临时文件或SD卡漏洞（1）原理分析

经过上文我们讲述的文件存储，现在的手机很多的公共目录都是自身自带的存储空间，Android系统的文件一般都存储在sdCard和应用的私有目录下，任何在Android Manifest中声明读写sdcard权限的应用都可以对sdcard进行读写。

 <uses-permission android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS" tools:ignore="ProtectedPermissions" />  <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>（2）漏洞案例——DIVA.apk例题5与例题6

我们打开例题5