SQLite敏感信息

0x01 漏洞描述

ndroid中有些时候会将一些隐私数据存放在sqlite数据库中，在root过的手机中通过RE就能够轻松的打开并查看数据库所有内容。

0x02 漏洞危害

SQLite不支持加密，应用中重要的数据、账号密码等容易被泄露。

0x03 修复意见

3.1 加密数据库内容

在存储数据时加密内容，在查询时进行解密。但是这种方式不能彻底加密，数据库的表结构等信息还是能被查看到，另外检索数据也是一个问题。

3.2 加密数据库文件

借助SQLCipher。SQLCipher是一个在SQLite基础之上进行扩展的开源数据库，它主要是在SQLite的基础之上增加了数据加密功能。

• 加密性能高、开销小，只要5-15%的开销用于加密
• 完全做到数据库100%加密
• 采用良好的加密方式（CBC加密模式）
• 使用方便，做到应用级别加密
• 采用OpenSSL加密库提供的算法