原文地址:http://wolfeye.baidu.com/blog/webview-setsavepassword/
漏洞描述
在使用WebView
的过程中忽略了WebView setSavePassword
,当用户选择保存在WebView
中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db
中。如果手机被root
就可以获取明文保存的密码,造成用户的个人敏感数据泄露。
解决方案
使用WebView.getSettings().setSavePassword(false)
来禁止保存密码