¿Existen fallas / hacks de seguridad conocidos para obtener acceso al almacenamiento privado (sistema de archivos o base de datos SQLite) de las aplicaciones de Android e iOS?
¿Qué medidas toman Google y Apple para "prevenir" este tipo de ataques, o depende del desarrollador de la aplicación encargarse de eso?
Actualizar ¿Están estos sistemas de archivos / bases de datos cifrados?
El sistema de archivos en un dispositivo Android no está cifrado. iOS hace esto por defecto. Sin embargo, tenga en cuenta que una vez que esté en tiempo de ejecución, esto ya no es realmente relevante. Solo protegen contra los atacantes que han obtenido acceso al teléfono y han eliminado el almacenamiento para su análisis.
En Android, las aplicaciones se encuentran en un espacio aislado y siempre que no esté ejecutando un dispositivo rooteado, una aplicación no puede acceder a la otra aplicación.
En general, si desea cifrar su base de datos, debe hacerlo desde la propia aplicación. Además, su clave de cifrado debe derivarse de una contraseña que el usuario debe proporcionar cada vez. El almacenamiento en caché de la contraseña debe hacerse con cuidado, ya que podría volcarla en el tiempo de ejecución. La contraseña o la clave no deben almacenarse en el dispositivo.
Tenga en cuenta que no hay una manera infalible de proteger sus datos una vez que un atacante haya obtenido acceso al teléfono. Solo puedes hacerlo un poco más difícil, pero no imposible.
Si los datos son servidos por su aplicación y almacenados en el teléfono móvil, entonces el propietario del teléfono puede y tendrá acceso a ellos de una forma u otra. Puede intentar usar la ofuscación tan agresivamente como desee, se accederá a los datos .
El uso del cifrado en el sistema de archivos / base de datos al que accede su aplicación significa que su aplicación debe tener acceso a la clave criptográfica, lo que significa que se sirve en línea, está almacenada en algún lugar del dispositivo o está codificada en la propia aplicación. En todos los casos anteriores, es completamente posible adquirirlo y, por lo tanto, acceder a los datos.