<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            


					
            
						
            
													
							
            
							   Privacy Violation: Android Internal Storage
							
            
							
            ABSTRACT
            
							
            
							  對各種機密信息處理不當,如客戶密碼或社會保障號碼,會危及到用戶的個人隱私,通常這是一種非法行為。
							
            
							
            EXPLANATION
            
							
            
							  Privacy Violation 會在以下情況下發生:

            1. 用戶私人信息進入了程序。

            2. 數據被寫到了一個外部介質,例如控制臺、file system 或網絡。 



            例 1:下列代碼用 Android 的 SharedPreferences 類存儲用戶首選項。在存儲的其他值中,用戶提供的 password 以明文形式存儲在設備上。 


            SharedPreferences userPreferences = this.getSharedPreferences("userPreferences", MODE_WORLD_READABLE);
            SharedPreferences.Editor editor = userPreferences.editor();
            editor.putString("username", userName);
            editor.putString("password", password);
            ...
            editor.language("language", language);
            ...


            雖然在默認情況下 Android 的 SharedPreferences 為應用程序專用,其他應用程序無法訪問。但是對設備的物理訪問還是有可能訪問這些文件。再者,在以上示例中,如果將模式設為 MODE_WORLD_READABLE,則會使首選項文件被其他應用程序訪問,更加違反了用戶隱私。

            雖然許多開發人員認為 file system 是存儲數據的安全場所,但是不應對其予以絕對的信任,特別是在涉及到隱私問題時。 

            可以通過多種方式將私人數據輸入到程序中:

            — 以密碼或個人信息的形式直接從用戶處獲取

            — 由應用程序訪問數據庫或者其他數據存儲形式

            — 間接地從合作者或者第三方處獲取

            有時,某些數據并沒有貼上私人數據標簽,但在特定的上下文中也有可能成為私人信息。比如,通常認為學生的學號不是私人信息,因為學號中并沒有明確而公開的信息用以定位特定學生的個人信息。但是,如果學校用學生的社會保障號碼生成學號,那么這時學號應被視為私人信息。 

            安全和隱私似乎一直是一對矛盾。從安全的角度看,您應該記錄所有重要的操作,以便日后可以鑒定那些非法的操作。然而,當其中牽涉到私人數據時,這種做法事實上就存在一定風險了。 

            雖然不安全地處理私人數據有多種形式,但是常見的風險來自于盲目的信任。程序員通常會信任程序運行的操作系統,因此認為將私人信息存放在 file system、注冊表或者獲得局部控制的資源中是值得信任的。盡管已經限制了某些資源的訪問權限,但仍無法保證所有訪問這些資源的個體都是值得信任的。例如,2004 年,一個不道德的 AOL 員工把大約 9200 萬個客戶的私人電子郵件地址賣給了一個通過垃圾郵件進行營銷的賭博網站 [1]。

            鑒于此類備受矚目的信息盜取事件,私人信息的收集與管理正日益規范化。要求各個組織應根據其經營地點、所從事的業務類型及其處理的私人數據性質,遵守下列一個或若干個聯邦和州的規定:

            - Safe Harbor Privacy Framework [3]

            - Gramm-Leach Bliley Act (GLBA) [4]

            - Health Insurance Portability and Accountability Act (HIPAA) [5]

            - California SB-1386 [6]

            盡管制定了這些規范,Privacy Violation 漏洞仍時有發生。
							
            
							 								
            REFERENCES
            
																								   
            [1] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A6 Information Leakage and Improper Error Handling 
            
																									   
            [2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A8 Insecure Storage 
            
																									   
            [3] J. Oates AOL man pleads guilty to selling 92m email addies The Register
            
																									   
            [4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I 
            
																									   
            [5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3210.1 CAT II, APP3310 CAT I, APP3340 CAT I 
            
																									   
            [6]  California SB-1386 Government of the State of California
            
																									   
            [7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 359 
            
																									   
            [8]  Designing for Security Android
            
																									   
            [9]  Financial Privacy:The Gramm-Leach Bliley Act (GLBA) Federal Trade Commission
            
																									   
            [10]  Health Insurance Portability and Accountability Act (HIPAA) U.S. Department of Human Services
            
																									   
            [11] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Information Leakage 
            
																									   
            [12]  OWASP Top 10 Mobile Risks OWASP
            
																									   
            [13]  Privacy Initiatives U.S. Federal Trade Commission
            
																									   
            [14] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 6.5.5, Requirement 8.4 
            
																									   
            [15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 6.5.6, Requirement 8.4 
            
																									   
            [16] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 3.2, Requirement 3.4, Requirement 4.2, Requirement 8.4 
            
																									   
            [17]  Safe Harbor Privacy Framework U.S. Department of Commerce
            
																									   
            [18] M. Howard, D. LeBlanc Writing Secure Code, Second Edition Microsoft Press
            
																														
            
							
            
							
            
							
            
							Copyright 2013 Fortify Software - All rights reserved.
							
            
							(Generated from version 2013.1.1.0008 of the Fortify Secure Coding Rulepacks)
							
            
							desc.structural.java.privacy_violation_android_internal_storage
							
            
							
            
						
            

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线