在使用WebView
的过程中忽略了WebView setSavePassword
,当用户选择保存在WebView
中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db
中。如果手机被root
就可以获取明文保存的密码,造成用户的个人敏感数据泄露。
漏洞代码样例:
... //mWebView.getSettings().setSavePassword(true); mWebView.loadUrl("http://www.example.com"); ...
如上代码中没有显示调用setSavePassword(false)
,默认为true
[1]。
使用WebView.getSettings().setSavePassword(false)
来禁止保存密码
[1] http://developer.android.com/reference/android/webkit/WebSettings.html#setSavePassword(boolean)