LogCat敏感信息

0x01 漏洞描述

在 Android 中有一种名为 LogCat 的日志机制，不仅系统日志信息，还有应用日志信息也会输出到LogCat。

开发人员通常会通过打印出的日志信息来分析、定位问题。如果对外发布版本的时候，忘记关闭相关的日志打印。LogCat 中的日志信息可以从同一设备中的其他应用中读出，敏感信息不应输出到LogCat，因此向Logcat输出敏感信息的应用，被认为具有信息泄露的漏洞。

0x02 漏洞危害

攻击者通过调试可获取到logcat输出的敏感信息，造成敏感信息泄漏

0x03 修复意见

• 在发行版应用中，最好不要输出任何日志。

• 为了APP的错误采集，异常反馈，必要的日志如要被输出，需遵循安全编码规范将风险控制在最小范围内

具体代码及实现请参考：

• Android Logcat Security
• 安卓应用安全指南 4.8 输出到 LogCat