コンテンツにスキップ

Android Sensitive data stored in keyboard cache

Android キーボードキャッシュに保存される機密データ

説明

Androidは、非数値の単語をキーボードキャッシュに保存します。自動補正機能が無効になっていない場合、ログイン情報やパスワードなどの機密情報が漏洩する可能性があります。

推奨事項

機密情報が入力されると想定される入力フィールドでは、「textNoSuggestions」や「textPassword」などの入力タイプを使用して、入力内容がキーボードキャッシュに保存されないようにする必要があります。

<?xml version="1.0" encoding="utf-8"?>
<LinearLayout
    xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:app="http://schemas.android.com/apk/res-auto">

    <!-- This password field uses the `textPassword` input type to ensure that the input is not saved to the keyboard cache. -->
    <EditText
        android:id="@+id/password"
        android:inputType="textPassword"/>  
</LinearLayout>

リンク

標準

  • OWASP_MASVS_L1:
    • MSTG_STORAGE_5
  • OWASP_MASVS_L2:
    • MSTG_STORAGE_5
  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_3_2
    • REQ_3_5
    • REQ_6_2
  • OWASP_MASVS_v2_1:
    • MASVS_STORAGE_2
  • HIPAA_CONTROLS:
    • SECURITY251
    • SECURITY212
    • SECURITY213