Cách lưu thông tin bảo mật trong Android

Question

Mọi người cho mình hỏi chút vấn đề với!!!!! Mình muốn lưu những thông tin quan trọng của user vào device. Thì có thể dùng cách nào để lưu? (Thông tin này có nhiều trường và tạo thành 1 List (Bình t...

Accepted Answer

Mình có 1 số gợi ý để tăng tính bảo mật trong việc lưu trữ trong Android, bạn có thể cần chú ý các điểm sau :
- Hạn chế tối thiểu việc truyền biến lưu trữ thông tin nhạy cảm giữa các function, service mà không qua mã hóa. Một ví dụ về phương thức tấn công theo dạng này là [code reuse attacks](#https://security.googleblog.com/2018/10/posted-by-sami-tolvanen-staff-software.html?fbclid=IwAR30uFjQ9t3d81Za6PMr-kgNoZ2PbIs15KSdzmWEXnsyidg1dI3BOBTpIIw)
- Hạn chế request các permission không cần thiết
- Lưu trữ thông tin dưới local khi đã mã hóa

Nói tóm lại là cần mã hóa dữ liệu trước khi gửi/ lưu/ chia sẻ dữ liệu. Dưới dây là một số mã hóa thông dụng:
- Cách cây nhà lá vườn là dùng các loại hash đơn giản như [MD5](#http://www.kospol.gr/204/create-md5-hashes-in-android/) để encrypt chuỗi. Cách này thích hợp cho việc lưu trữ nhanh các chuỗi , đơn giản, dễ hiểu 
- Cách hơi lập dị: lưu xuống file trong internal storage với mode `MODE_PRIVATE`. Theo lý thuyết thì các data này sẽ chặn các ứng dụng khác đọc nó. Nhưng mình thấy cách này khá vô dụng, vì mình vẫn có thể lấy được data dạng này nếu muốn :D 
- Đối với loại database truyền thống như **SQLLite**, bạn có thể dùng kèm với [SQLCipher](#https://www.zetetic.net/sqlcipher/sqlcipher-for-android/) để mã hóa data khi lưu. Nói dễ hiểu là bạn đưa nó 1 cái key, nó sẽ encrypt db cho bạn, muốn đọc db lên được phải đưa đúng key cho nó. Vấn đề thú vị ở đây là bạn sẽ lưu cái key đó ở đâu cho an toàn :D , ở đây mình có biết một số mô hình thông dụng: 
   - Lưu hard-code cái key đó trong share preference :D hoặc chỗ nào khó tìm trong project :D (cách củ chuối)
   - Yêu cầu user nhập passcode hoặc mã PIN, dùng mã PIN của user làm key
   - Lưu key và database trên server, user chỉ có thể truy cập thông tin qua các request gửi tới server (cách này không phù hợp với câu hỏi của bạn)
- Đối với ORM database như **GreenDAO, Realm**  đều có hỗ trợ việc crypto db, bạn có thể tìm hiểu thử 
- Dùng [**KeyStore**](#https://developer.android.com/reference/java/security/KeyStore) của Android. Đây là 1 phương thức mã hóa mà Android cung cấp sẵn, tuy nhiên với các thuật toán phức tạp hơn thôi. Bạn có thể tìm hiểu nếu thích.

Tuy nhiên nên lưu ý việc encrypt data luôn đi kèm với viêc giảm performance, quá trình đọc ghi sẽ chậm hơn rất nhiều, tùy vào mục đích cụ thể mà dùng. Mà an toàn nhất là đừng lưu dưới local :poop:

Answer

Trong câu hỏi của bạn đã có 1 cách rồi, đó là sử dụng sqlite.
Ngoài ra, bạn có thể sử dụng [SharedPreferences](https://developer.android.com/training/data-storage/shared-preferences) để lưu. Dữ liệu sẽ được lưu dưới dạng `key - value`. Chỉ có kiểu giá trị `boolean`, `float`, `int`, `long`, `string` mới được hỗ trợ. Vậy nên, do dữ liệu của bạn có nhiều trường, thì bạn cần chuyển nó về dạng đơn giản hơn để lưu (chẳng hạn bạn encode nó thành string và lưu lại, sau này decode nó thành json là xong).

Bình thường mình sẽ dùng [Gson](https://github.com/google/gson) để convert `json - string` cho nhau.
Ví dụ với Kotlin:
```kotlin
data class User(val name: String, val age: Int);

// Somewhere
val user = User("Doanh", 26);
val jsonString = Gson().toJson(user, User::class.java);

// Somewhere
val user = Gson().fromJson(jsonString, User::class.java);
```

2 CÂU TRẢ LỜI