原文:
真的安全吗之51信用卡管家Android客户端审计报告
1.讲这个漏洞先要介绍一下一个安卓系统特性:db-journal 文件是 sqlite 的一个临时的日志文件,主 要用于 sqlite 事务回滚机制,在事务开始时产生,在事务结束时删除;当程序发生崩溃或者系统断 电时该文件将留在磁盘上,以便下次程序运行时进行事务回滚,其内容与同名的.db 文件相同。在 android 系统中,.db-journal 文件是永久的留在磁盘上不会被自动清除的,开发者必须设置此类文件 权限以避免.db 文件内容泄露。

2.51 信用卡管家将用户使用 webview 组件浏览页面时保存的一些敏感信息储存在 databases 目录下的 db 数据库中

其中的 51zhangban 是主数据库,保存了用户的大量信息



其同名的 51zhangban.db-journal 文件权限为任意应用可读取

则意味着其内部数据在未 ROOT 情况下有泄露风险

更多相关文章

  1. android构建系统总览
  2. Android中的拿来主义
  3. Android平台上四种保存数据的方法
  4. Android(安卓)Studio 3.6.2 | 使用内置文件浏览器查看文件
  5. 在Android中嵌入C语言程序----Android(安卓)JNI详述
  6. Android(安卓)定制EditText 改变 底线颜色
  7. 一切从android的handler说起(七)之内存泄露
  8. Proguard混淆器Android
  9. Android(安卓)Root分析及防范

随机推荐

  1. Android 7.1 修改副屏显示DPI(补充旋转补
  2. Android WebView基本使用
  3. Android打开或者关闭软键盘的解决方案
  4. 浅谈Android os体系架构
  5. Mac Android(安卓)Studio快捷键整理
  6. 【Android】APP_ALLOW_MISSING_DEPS=true
  7. android上传文件到服务器(图片、文本等)
  8. android 图片轮播(自动循环轮播)
  9. 详细讲解下Hook技术,以Hook点击事件来示
  10. Android 中的数据存储