Privacy Violation: Android Internal Storage

隱私資訊 (比如客戶密碼或社會安全號碼) 處理不當會導致使用者隱私資訊洩漏，且是不合法的行為。

在以下情況會發生 Privacy Violation：

1. 私人使用者資訊進入程式。

2. 資料寫入到外部位置，例如主控台、File System 或網路。

此情況下，資料是使用 SharedPreferences類別儲存到 Android 實體裝置。

範例 1： 下列程式碼使用 Android 的 SharedPreferences 類別儲存使用者優先權。在其他儲存的值當中，使用者提供的 password 是以純文字儲存在裝置中。

SharedPreferences userPreferences = this.getSharedPreferences("userPreferences", MODE_WORLD_READABLE);
SharedPreferences.Editor editor = userPreferences.editor();
editor.putString("username", userName);
editor.putString("password", password);
...
editor.language("language", language);
...

依預設，雖然 Android 的 SharedPreferences 執行個體是應用程式的私人設定，其他應用程式無法存取，但是實際上取得實體裝置則有可能存取這些檔案。此外，在 Example 1 中，將模式設為 MODE_WORLD_READABLE 會使其他應用程式可以使用優先權檔案，更進一步違反了使用者隱私。

雖然許多的開發人員信任檔案系統為儲存資料的安全位置，但不應對其絕對信任，特別是關係到隱私問題時。

私人資料可以透過多種方式進入到程式中：

－ 直接來自於使用者的密碼或個人資訊

－ 從應用程式存取資料庫或其他資料儲存

－ 間接地來自於合作者或者第三方

通常，在行動環境中，此私密資訊包括 (還有密碼、SSN 及其他一般個人資訊)：

- 位置

- 行動電話號碼

- 序號和裝置 ID

- 網路業者資訊

- 語音信箱資訊

有些資料未標示為私人資料，但仍有可能根據狀況有隱私含意。例如，學生的學號通常不被認為是隱私資訊，因為學號中沒有明確和公開的資訊以對應於個別學生的個人資訊。不過，如果學校以學生的身份證字號來產生學號，則此學號應視為隱私資訊。

安全和隱私似乎時常互相矛盾。從安全的觀點來看，您應該要記錄所有重要的操作，以便於日後辨別所有的異常活動。不過，當其中包含了私人資料時，此種作法將會造成風險。

雖然有多種情況會發生隱私資料處理不安全，但常見的風險多是來自盲目的信賴。程式設計師通常會信賴程式執行的作業環境，所以相信將隱私資訊儲存在檔案系統、登錄或是其他局部控制的資源中是可以接受的。但即使限制特定資源的存取權，也並不保證可以信任有存取權的個人。例如，在 2004 年時一位無恥的 AOL 員工將大約 9 千 2 百萬名客戶的私人電子郵件地址賣給了一個透過發送垃圾郵件進行行銷的賭博網站 [1]。

由於此類受矚目的資料攻擊事件，隱私資料的收集和管理方面的規範日益增加。要求各組織根據其位置、所管理的業務類型，以及其所處理的隱私資訊性質，遵守以下一個或多個聯邦和州的規定：

- Safe Harbor Privacy Framework [3]

- Gramm-Leach Bliley Act (GLBA) [4]

- Health Insurance Portability and Accountability Act (HIPAA) [5]

- California SB-1386 [6]

雖已制定規範，但 Privacy Violation 的情況仍持續發生。