51 信用卡管家 Android(安卓)客户端内部数据库文件可被盗取
16lz
2021-01-26
原文:
真的安全吗之51信用卡管家Android客户端审计报告
1.讲这个漏洞先要介绍一下一个安卓系统特性:db-journal 文件是 sqlite 的一个临时的日志文件,主 要用于 sqlite 事务回滚机制,在事务开始时产生,在事务结束时删除;当程序发生崩溃或者系统断 电时该文件将留在磁盘上,以便下次程序运行时进行事务回滚,其内容与同名的.db 文件相同。在 android 系统中,.db-journal 文件是永久的留在磁盘上不会被自动清除的,开发者必须设置此类文件 权限以避免.db 文件内容泄露。
2.51 信用卡管家将用户使用 webview 组件浏览页面时保存的一些敏感信息储存在 databases 目录下的 db 数据库中
其中的 51zhangban 是主数据库,保存了用户的大量信息
其同名的 51zhangban.db-journal 文件权限为任意应用可读取
则意味着其内部数据在未 ROOT 情况下有泄露风险
更多相关文章
- android构建系统总览
- Android中的拿来主义
- Android平台上四种保存数据的方法
- Android(安卓)Studio 3.6.2 | 使用内置文件浏览器查看文件
- 在Android中嵌入C语言程序----Android(安卓)JNI详述
- Android(安卓)定制EditText 改变 底线颜色
- 一切从android的handler说起(七)之内存泄露
- Proguard混淆器Android
- Android(安卓)Root分析及防范