1. 问题说明
检查移动客户端 APP 私有目录下的文件及 APP 自身代码中是否存在敏感信息泄露的情况,如果有该类情况,则可能泄露 APP 自身中的服务端接口信息以及用户信息(如密码、私钥)等。
2. 测试步骤
先检查 APP 源码中是否直接硬编码了敏感信息(如账号密码、IP 地址、邮箱等)。再检查 /data/data/APP包名 路径下的文件以及 SD 中包含 APP 名称的目录中的文件,检查其中是否存在敏感信息(如密码、私钥等)、敏感信息是否加密以及是否能通过修改 SD 卡文件影响 APP 正常运行。
下图就是存在敏感信息泄漏的问题。
3. 修复建议
- 敏感信息不要直接硬编码在 APP 代码中;
- 敏感信息在本地存储时进行加密。
若有收获,就点个赞吧
0 人点赞
