1. 问题说明

在使用 WebView 的过程中忽略了 WebView setSavePassword,当用户选择保存在 WebView 中输入的用户名和密码,则会被明文保存到应用数据目录的 databases/webview.db 中。如果手机被 root 就可以获取明文保存的密码,造成用户的个人敏感数据泄露。

2. 测试步骤

在代码中搜 “setSavePassword”,看是否显式设置为 false(在 webview 组件代码中测试)。可以在 Jadx 中全局搜索。

3. 修复建议

使用 WebView.getSettings().setSavePassword(false) 来禁止保存密码。