Android Sensitive data stored in keyboard cache

Android 敏感数据存储在键盘缓存中

Risk: low

描述

Android 会将非数字词汇存储在键盘缓存中。如果不禁用自动更正功能，登录名或密码等敏感信息可能会泄露。

建议

预期需要输入敏感信息的输入字段应使用“textNoSuggestions”或“textPassword”等输入类型，以确保输入内容不会被保存到键盘缓存中。

XML

<?xml version="1.0" encoding="utf-8"?>
<LinearLayout
    xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:app="http://schemas.android.com/apk/res-auto">

    <!-- This password field uses the `textPassword` input type to ensure that the input is not saved to the keyboard cache. -->
    <EditText
        android:id="@+id/password"
        android:inputType="textPassword"/>  
</LinearLayout>

链接

• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

标准

• OWASP_MASVS_L1:
  • MSTG_STORAGE_5
• OWASP_MASVS_L2:
  • MSTG_STORAGE_5
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_2
  • REQ_3_5
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_STORAGE_2
• HIPAA_CONTROLS:
  • SECURITY251
  • SECURITY212
  • SECURITY213