Android Sensitive data stored in keyboard cache

Données sensibles Android stockées dans le cache du clavier

Risk: low

Description

Android stocke les mots non numériques dans le cache du clavier. Des informations sensibles telles que les identifiants de connexion ou les mots de passe peuvent fuiter si la fonctionnalité de correction automatique n'est pas désactivée.

Recommandation

Les champs de saisie censés recevoir des informations sensibles doivent utiliser des types de saisie tels que "textNoSuggestions" ou "textPassword" pour s'assurer que la saisie ne soit pas enregistrée dans le cache du clavier.

XML

<?xml version="1.0" encoding="utf-8"?>
<LinearLayout
    xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:app="http://schemas.android.com/apk/res-auto">

    <!-- This password field uses the `textPassword` input type to ensure that the input is not saved to the keyboard cache. -->
    <EditText
        android:id="@+id/password"
        android:inputType="textPassword"/>  
</LinearLayout>

Liens

• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

Normes

• OWASP_MASVS_L1:
  • MSTG_STORAGE_5
• OWASP_MASVS_L2:
  • MSTG_STORAGE_5
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_5
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• HIPAA_CONTROLS:
  • SECURITY251
  • SECURITY212
  • SECURITY213