DIVA Android - 6.Insecure Data Storage – Part 4

相關文章：

DIVA Android - 1.Insecure Logging
DIVA Android - 2.Hardcoding Issues – Part 1
DIVA Android - 3.Insecure Data Storage – Part 1
DIVA Android - 4.Insecure Data Storage – Part 2
DIVA Android - 5.Insecure Data Storage – Part 3

DIVA Android - 6.Insecure Data Storage – Part 4
DIVA Android - 7.Input Validation Issues – Part 1
DIVA Android - 8.Input Validation Issues – Part 2

DIVA Android - 9.Access Control Issues – Part 1
DIVA Android - 10.Access Control Issues – Part 2
DIVA Android - 11.Access Control Issues – Part 3
DIVA Android - 12.Hardcoding Issues – Part 2
DIVA Android - 13.Input Validation Issues – Part 3

「6.Insecure Data Storage – Part 4」對應到的 Activity 是 InsecureDataStorage4Activity，看一下 code 長這樣：





首先 getExternalStorageDirectory 會取得外部儲存空間的路徑，並在底下新增一個 uinfo.txt 的隱藏檔案，接著根據使用者輸入的字串將值寫入該檔中。



Save 後在 /mnt/sdcard/ 中就能發現多了一個 uinfo.txt 的隱藏檔案，cat 後明文顯示。





弱點在於敏感資訊沒有加密。

防範方法：敏感資料應加密後再儲存，且應使用安全的加密方式，詳情參考 NIST。