移动安全开发指南-避免GUI对象缓存

释放双眼,带上耳机,听听看~!
移动安全开发指南-避免GUI对象缓存

远程支票存款应用程序允许人们使用他们的设备拍摄支票的照片,并将其发送到其金融机构以存入帐户。

详细描述

Android将应用程序屏幕保留在内存中,并且多任务可以导致将整个应用程序保留在内存中(即使用户注销其帐户)。 这允许发现或窃取设备的攻击者直接导航到保留的屏幕,其可以包括作为GUI的一部分的敏感用户数据。 例如,如果用户退出银行应用,但不退出或关闭应用,则可以保留显示交易活动的屏幕,并且攻击者可以看到该屏幕。

建议

为了解决这个问题,开发人员有三个常见的选择:

  1. 当用户注销时,完全退出应用程序。 虽然违反Android设计原则退出您自己的应用程序,它是更安全,因为退出应用程序将销毁任何保留的GUI屏幕。
  2. 任何时间启动活动或访问屏幕时,请执行检查以确定用户是否处于已登录状态。 如果用户未登录,则显示登录屏幕。
  3. 在离开屏幕或注销之前,在GUI屏幕上清除数据。

CWE/OWASP

  • M4 – Unintended Data Leakage
  • CWE 200: Information Exposure

人已赞赏
安全工具安全教程

移动安全开发指南-避免存储缓存的摄像机图像

2019-10-24 16:59:39

安全工具安全教程

移动安全开发指南-签名 Android APKs

2019-10-24 17:01:29

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索