SharedPreferences任意读写 - getSharedPreferences方法

---

一、API

1. getSharedPreferences(String name , int mode)

示例：getSharedPreferences("config" , Context.MODE_PRIVATE)

2. 第一参数：指定Preference文件的名称，使用xml文件存放数据，名称不用带后缀，文件保存在/data/data/<package name>/shared_prefs/config.xml

3. 第二参数：指定操作模式

【1】Context.MODE_PRIVATE = 0 （0x0000）

  默认操作模式，代表该文件是私有数据，只能被应用本身访问，同时写入的内容会覆盖原文件的内容

【2】Context.APPEND = 32768 (0x8000)

  同样代表文件是私有数据，写入的方式是追加内容

【3】Context.MODE_WORLD_READABLE = 1 (0x0001)

  表示当前文件可以被其他应用读取

【4】Context.MODE_WORLD_WRITEABLE = 2 (0x0002)

  表示当前文件可以被其他应用写入

【5】Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE = 3 (0x0003)

  表示文件可被其他应用读和写

4. 参考链接：

http://justsee.iteye.com/blog/930643

http://www.cnblogs.com/renqingping/archive/2012/10/19/SharedPreferences.html

二、触发条件

1. getSharedPreferences("config" , Context.MODE_WORLD_READABLE)

2. getSharedPreferences("config" , Context.MODE_WORLD_WRITEABLE)

3. getSharedPreferences("config" , Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE)

4. 对应到smali中的特征

【1】;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;

【2】判断对寄存器的赋值：const v1 0x1 / const v1 0x2 / const v1 0x3

三、漏洞原理

【1】Shared Preferences文件没有使用正确的创建模式，导致可被其他应用访问，并执行读写操作，可能会导致敏感信息的泄漏

【2】详细的原理&POC ，参考链接：

https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.5.3SDXcw&articleid=56

四、修复建议

【1】避免使用MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE模式创建Shared Preferences文件

【2】避免把密码等敏感数据信息明文存放在Shared Preferences文件中