OWASP বিভাগ: MASVS-স্টোরেজ: স্টোরেজ
ওভারভিউ
অ্যান্ড্রয়েড 10 (API 29) বা তার কমকে লক্ষ্য করা অ্যাপ্লিকেশনগুলি স্কোপড স্টোরেজ প্রয়োগ করে না। এর মানে হল যে বাহ্যিক সঞ্চয়স্থানে সঞ্চিত যে কোনও ডেটা READ_EXTERNAL_STORAGE অনুমতি সহ অন্য কোনও অ্যাপ্লিকেশন দ্বারা অ্যাক্সেস করা যেতে পারে।
প্রভাব
অ্যানড্রয়েড 10 (API 29) বা তার চেয়ে কম মানের অ্যাপ্লিকেশানগুলিতে, যদি বাহ্যিক স্টোরেজে সংবেদনশীল ডেটা সংরক্ষিত থাকে, তবে READ_EXTERNAL_STORAGE অনুমতি সহ ডিভাইসে থাকা যেকোনো অ্যাপ্লিকেশন এটি অ্যাক্সেস করতে পারে। এটি দূষিত অ্যাপ্লিকেশনগুলিকে বাহ্যিক সঞ্চয়স্থানে স্থায়ীভাবে বা অস্থায়ীভাবে সংরক্ষিত সংবেদনশীল ফাইলগুলিকে নীরবে অ্যাক্সেস করতে দেয়৷ অতিরিক্তভাবে, যেহেতু বাহ্যিক সঞ্চয়স্থানের বিষয়বস্তু সিস্টেমের যেকোনো অ্যাপ দ্বারা অ্যাক্সেস করা যেতে পারে, তাই যে কোনো দূষিত অ্যাপ্লিকেশন যা WRITE_EXTERNAL_STORAGE অনুমতিও ঘোষণা করে বাহ্যিক সঞ্চয়স্থানে সঞ্চিত ফাইলগুলির সাথে হস্তক্ষেপ করতে পারে, যেমন দূষিত ডেটা অন্তর্ভুক্ত করা। এই দূষিত ডেটা, যদি অ্যাপ্লিকেশনটিতে লোড করা হয়, তবে ব্যবহারকারীদের প্রতারণা করার জন্য বা এমনকি কোড কার্যকর করার জন্য ডিজাইন করা যেতে পারে।
প্রশমন
স্কোপড স্টোরেজ (Android 10 এবং পরবর্তী)
অ্যান্ড্রয়েড 10
অ্যান্ড্রয়েড 10 টার্গেট করা অ্যাপ্লিকেশনগুলির জন্য, বিকাশকারীরা স্পষ্টভাবে স্কোপড স্টোরেজ বেছে নিতে পারেন। AndroidManifest.xml ফাইলে requestLegacyExternalStorage পতাকাটিকে মিথ্যাতে সেট করে এটি অর্জন করা যেতে পারে। স্কোপড স্টোরেজ সহ, অ্যাপ্লিকেশনগুলি কেবলমাত্র সেই ফাইলগুলি অ্যাক্সেস করতে পারে যা তারা নিজেরাই বাহ্যিক সঞ্চয়স্থানে তৈরি করেছে বা অডিও এবং ভিডিওর মতো মিডিয়াস্টোর এপিআই ব্যবহার করে সংরক্ষণ করা ফাইলের প্রকারগুলি। এটি ব্যবহারকারীর গোপনীয়তা এবং নিরাপত্তা রক্ষা করতে সাহায্য করে।
Android 11 এবং পরবর্তী
অ্যান্ড্রয়েড 11 বা তার পরবর্তী সংস্করণগুলিকে লক্ষ্য করে এমন অ্যাপ্লিকেশনগুলির জন্য, OS স্কোপড স্টোরেজের ব্যবহার প্রয়োগ করে , অর্থাৎ এটি requestLegacyExternalStorage স্টোরেজ পতাকাকে উপেক্ষা করে এবং অবাঞ্ছিত অ্যাক্সেস থেকে অ্যাপ্লিকেশনগুলির বাহ্যিক স্টোরেজকে স্বয়ংক্রিয়ভাবে রক্ষা করে৷
সংবেদনশীল ডেটার জন্য অভ্যন্তরীণ স্টোরেজ ব্যবহার করুন
লক্ষ্যযুক্ত Android সংস্করণ নির্বিশেষে, একটি অ্যাপ্লিকেশনের সংবেদনশীল ডেটা সর্বদা অভ্যন্তরীণ স্টোরেজে সংরক্ষণ করা উচিত। অভ্যন্তরীণ সঞ্চয়স্থানে অ্যাক্সেস স্বয়ংক্রিয়ভাবে অ্যান্ড্রয়েড স্যান্ডবক্সিং-এর জন্য মালিকানাধীন অ্যাপ্লিকেশনের জন্য সীমাবদ্ধ, তাই ডিভাইসটি রুট করা না থাকলে এটি নিরাপদ বলে বিবেচিত হতে পারে।
সংবেদনশীল ডেটা এনক্রিপ্ট করুন
যদি অ্যাপ্লিকেশনটির ব্যবহারের ক্ষেত্রে বাহ্যিক সঞ্চয়স্থানে সংবেদনশীল ডেটা সংরক্ষণের প্রয়োজন হয়, তবে ডেটা এনক্রিপ্ট করা উচিত। একটি শক্তিশালী এনক্রিপশন অ্যালগরিদম সুপারিশ করা হয়, Android KeyStore ব্যবহার করে কীটি নিরাপদে সংরক্ষণ করুন৷
সাধারণভাবে, সমস্ত সংবেদনশীল ডেটা এনক্রিপ্ট করা একটি প্রস্তাবিত নিরাপত্তা অনুশীলন, এটি যেখানেই সংরক্ষণ করা হোক না কেন।
এটি লক্ষ্য করা গুরুত্বপূর্ণ যে সম্পূর্ণ ডিস্ক এনক্রিপশন (বা Android 10 থেকে ফাইল-ভিত্তিক এনক্রিপশন) একটি পরিমাপ যা শারীরিক অ্যাক্সেস এবং অন্যান্য আক্রমণ ভেক্টর থেকে ডেটা রক্ষা করার লক্ষ্যে। এই কারণে, একই নিরাপত্তা পরিমাপ মঞ্জুর করার জন্য, বহিরাগত স্টোরেজে রাখা সংবেদনশীল ডেটা অতিরিক্তভাবে অ্যাপ্লিকেশন দ্বারা এনক্রিপ্ট করা উচিত।
অখণ্ডতা চেক সঞ্চালন
যেসব ক্ষেত্রে বাহ্যিক সঞ্চয়স্থান থেকে অ্যাপ্লিকেশনে ডেটা বা কোড লোড করতে হয়, সেক্ষেত্রে অন্য কোনো অ্যাপ্লিকেশন এই ডেটা বা কোডের সাথে কারচুপি করেনি তা যাচাই করার জন্য অখণ্ডতা পরীক্ষা করার সুপারিশ করা হয়। ফাইলগুলির হ্যাশগুলি একটি নিরাপদ পদ্ধতিতে সংরক্ষণ করা উচিত, বিশেষত এনক্রিপ্ট করা এবং অভ্যন্তরীণ স্টোরেজে।
কোটলিন
package com.example.myapplication
import java.io.BufferedInputStream
import java.io.FileInputStream
import java.io.IOException
import java.security.MessageDigest
import java.security.NoSuchAlgorithmException
object FileIntegrityChecker {
@Throws(IOException::class, NoSuchAlgorithmException::class)
fun getIntegrityHash(filePath: String?): String {
val md = MessageDigest.getInstance("SHA-256") // You can choose other algorithms as needed
val buffer = ByteArray(8192)
var bytesRead: Int
BufferedInputStream(FileInputStream(filePath)).use { fis ->
while (fis.read(buffer).also { bytesRead = it } != -1) {
md.update(buffer, 0, bytesRead)
}
}
private fun bytesToHex(bytes: ByteArray): String {
val sb = StringBuilder()
for (b in bytes) {
sb.append(String.format("%02x", b))
}
return sb.toString()
}
@Throws(IOException::class, NoSuchAlgorithmException::class)
fun verifyIntegrity(filePath: String?, expectedHash: String): Boolean {
val actualHash = getIntegrityHash(filePath)
return actualHash == expectedHash
}
@Throws(Exception::class)
@JvmStatic
fun main(args: Array<String>) {
val filePath = "/path/to/your/file"
val expectedHash = "your_expected_hash_value"
if (verifyIntegrity(filePath, expectedHash)) {
println("File integrity is valid!")
} else {
println("File integrity is compromised!")
}
}
}
জাভা
package com.example.myapplication;
import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.io.IOException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class FileIntegrityChecker {
public static String getIntegrityHash(String filePath) throws IOException, NoSuchAlgorithmException {
MessageDigest md = MessageDigest.getInstance("SHA-256"); // You can choose other algorithms as needed
byte[] buffer = new byte[8192];
int bytesRead;
try (BufferedInputStream fis = new BufferedInputStream(new FileInputStream(filePath))) {
while ((bytesRead = fis.read(buffer)) != -1) {
md.update(buffer, 0, bytesRead);
}
}
byte[] digest = md.digest();
return bytesToHex(digest);
}
private static String bytesToHex(byte[] bytes) {
StringBuilder sb = new StringBuilder();
for (byte b : bytes) {
sb.append(String.format("%02x", b));
}
return sb.toString();
}
public static boolean verifyIntegrity(String filePath, String expectedHash) throws IOException, NoSuchAlgorithmException {
String actualHash = getIntegrityHash(filePath);
return actualHash.equals(expectedHash);
}
public static void main(String[] args) throws Exception {
String filePath = "/path/to/your/file";
String expectedHash = "your_expected_hash_value";
if (verifyIntegrity(filePath, expectedHash)) {
System.out.println("File integrity is valid!");
} else {
System.out.println("File integrity is compromised!");
}
}
}
সম্পদ
- স্কোপড স্টোরেজ
- READ_EXTERNAL_STORAGE
- WRITE_EXTERNAL_STORAGE
- অনুরোধ লিগ্যাসি এক্সটার্নাল স্টোরেজ
- ডেটা এবং ফাইল স্টোরেজ ওভারভিউ
- ডেটা স্টোরেজ (অ্যাপ স্পেসিফিক)
- ক্রিপ্টোগ্রাফি
- কীস্টোর
- ফাইল-ভিত্তিক এনক্রিপশন
- ফুল-ডিস্ক এনক্রিপশন