Android Sensitive data stored in keyboard cache

Datos sensibles de Android almacenados en la caché del teclado

Risk: low

Descripción

Android almacena palabras no numéricas en el caché del teclado. La información confidencial, como inicios de sesión o contraseñas, puede filtrarse si la función de corrección automática no está desactivada.

Recomendación

Los campos de entrada que se espera que reciban información confidencial deben utilizar tipos de entrada como "textNoSuggestions" o "textPassword" para garantizar que la entrada no se guarde en el caché del teclado.

XML

<?xml version="1.0" encoding="utf-8"?>
<LinearLayout
    xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:app="http://schemas.android.com/apk/res-auto">

    <!-- This password field uses the `textPassword` input type to ensure that the input is not saved to the keyboard cache. -->
    <EditText
        android:id="@+id/password"
        android:inputType="textPassword"/>  
</LinearLayout>

Enlaces

• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

Estándares

• OWASP_MASVS_L1:
  • MSTG_STORAGE_5
• OWASP_MASVS_L2:
  • MSTG_STORAGE_5
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_5
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• HIPAA_CONTROLS:
  • SECURITY251
  • SECURITY212
  • SECURITY213