「Preferenceファイルのアクセス制限不備」とはどのような問題でしょうか。ここで概要について理解しておきましょう。
Preferenceは、アプリが動作する際に参照する設定情報などを簡単な実装で入出力できる仕組みです。 Preferenceの実体は、内部ストレージに保存されるファイルです(以降、Preferenceファイルと呼びます)。
Preferenceクラスが提供するメソッドの使用により、開発者は明示的にアクセス権を設定しなくても他のアプリからアクセスできないPreferenceファイルを作成することができます。
|
正しくアクセス制限が行われていれば
攻撃アプリはPreferenceファイルにアクセスできない
|
また、内部ストレージに保存する通常のファイルと同様に、開発者がPreferenceファイルに対して明示的にアクセス権を設定することもできます。
そのため、Preferenceファイル作成時に誤ったアクセス権設定をしてしまうと、他のアプリがPreferenceファイルにアクセス可能になります。
|
アクセス制限に誤りがあると
攻撃アプリはPreferenceファイルにアクセスできる
|
Preferenceファイルの内容が想定外のアプリに読み取られたり書き換えられたりできるようになっていることが「Preferenceファイルのアクセス制限不備」によって生じる脆弱性です。