DIVA Android - 5.Insecure Data Storage – Part 3

相關文章：

DIVA Android - 1.Insecure Logging
DIVA Android - 2.Hardcoding Issues – Part 1
DIVA Android - 3.Insecure Data Storage – Part 1
DIVA Android - 4.Insecure Data Storage – Part 2
DIVA Android - 5.Insecure Data Storage – Part 3

DIVA Android - 6.Insecure Data Storage – Part 4
DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2

DIVA Android - 9.Access Control Issues – Part 1
DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 12.Hardcoding Issues – Part 2
DIVA Android - 13.Input Validation Issues – Part 3

「5.Insecure Data Storage – Part 3」對應到的 Activity 是 InsecureDataStorage3Activity，看一下 code 長這樣：





createTempFile 會在 /data/data/<package_name>/ 資料夾內新增一個以 uinfo 開頭的暫存檔，然後把使用者輸入的字串寫入該檔中。



Save 後在 /data/data/jakhar.aseem.diva/ 中就能發現多了一個以 uinfo 字串開頭的暫存檔，cat 後明文顯示。



弱點在於敏感資訊沒有加密。

防範方法：敏感資料應加密後再儲存，且應使用安全的加密方式，詳情參考 NIST。