Android静态安全检查(十五):WebView明文密码存储检测

明文密码存储

Android的WebView组件默认打开了提示用户是否保存密码存储功能,如果用户选择了保存,用户名和密码就会被明文存储到该应用的database/webview.db文件中。明文存储的用户名和密码,不仅会被该应用随意的获取,其他的恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,窃取用户的用户名和密码,导致信息泄露。

检测方法

因为webview默认开启的密码保存功能。首先检测是否有webview.loadUrl()方法,如果有则再看是否有显式的mWebView.setSavePassword(false),关闭密码保存功能,如果没有,则有明文密码存储风险。

修复方法

在使用到webview的地方调用setSavePassword方法,关闭密码保存功能。

mWebView.setSavePassword(false)

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u010889616/article/details/80992890
文章标签: Android webview
个人分类: Web安全
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭