Android静态安全检测 -> WebView明文存储密码
WebView明文存储密码 - WebSettings.setSavePassword方法1. API继承关系java.lang.Objectandroid.webkit.WebSettings主要方法setJavaScriptEnabled(boolean flag):是否支持jssetPluginsEnabled(
·
WebView明文存储密码 -WebSettings.setSavePassword方法
一、API
1. 继承关系
【1】java.lang.Object
【2】android.webkit.WebSettings
2. 主要方法
【1】setJavaScriptEnabled(boolean flag):是否支持js
【2】setPluginsEnabled(boolean flag):是否支持插件
【3】setSavePassword(boolean save):是否保存密码
【4】其他方法
参考链接:http://www.apihome.cn/api/android/WebSettings.html
二、触发条件
1. 调用getSettings方法,获取WebSettings对象
【1】对应到smali语句中的特征:;->getSettings()Landroid/webkit/WebSettings;
2. 调用WebSettings.setSavePassword方法,设置setSavePassword(true)或没有显示设置(默认为true)
【1】对应到smali语句中的特征:
Landroid/webkit/WebSettings;->setSavePassword(Z)V
判断对寄存器的赋值:const v1 0x1
三、漏洞原理
【1】在使用WebView的过程中忽略了WebView setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据泄露
【2】参考链接:http://wolfeye.baidu.com/blog/webview-setsavepassword/
四、修复建议
【1】使用WebView.getSettings().setSavePassword(false)来禁止保存密码
讨论HarmonyOS开发技术,专注于API与组件、DevEco Studio、测试、元服务和应用上架分发等。
更多推荐
2
0- 0
已为社区贡献4条内容
所有评论(0)