Perché la mia app Cordova contiene un file SQLite con tabelle delle carte di credito?

Naviga le tue risposte
0

Abbiamo creato un'app mobile che include una visualizzazione per il pagamento con carte di credito. Abbiamo usato Cordova in modo che possiamo bloccare la nostra app per Android e iOS. Durante alcuni test è stato trovato un file SQLite su /data/data/[package]/app_webview/Web Data . Questo file include tabelle denominate credit_card e whaever_credit_card . Chi ha trovato quel file non ha menzionato se questo file contiene effettivamente numeri di carta di credito o è vuoto.

Ho cercato questo problema e ho trovato una spiegazione per questo, ma non sono sicuro che sia giusto:

  • Si tratta di un file creato dalla visualizzazione Web di Android per gli scopi di riempimento automatico delle carte di credito.
  • È possibile accedervi solo con i permessi di root.

Per sicurezza, non stiamo facendo nulla con la carta di credito che l'utente inserisce nel campo di input.

Qualcuno può approfondire i rischi per la sicurezza? Qualcuno può proporre un modo per cancellare il file o disabilitarlo con javascript in cordova o plugin?

    
posta Elo 10.02.2018 - 09:14
fonte

1 risposta

0

/ data / data / packagename / app_webview / * memorizza la cache della webview. Il database Web Data.db è il database predefinito che viene creato per memorizzare nella cache i dati della webview e tutte le tabelle come credit_cards , masked_credit_cards sono create per impostazione predefinita indipendentemente dall'applicazione che lo utilizza o meno.

Prima di tutto ti suggerisco di chiedere al revisore della tua domanda di condividere i POC (Proof of Concept), se i dettagli sensibili sono memorizzati nell'archivio dati locale dell'applicazione.

Suggerirei quanto segue per eliminare la cache:

  1. Per l'applicazione Cordova puoi utilizzare il questo plug-in per eliminare la cache della webview.
  2. In alternativa puoi cancellare la cartella in modo programmatico ( / data / data / packagename / app_webview / * ) quando la webview viene distrutta. Puoi fare riferimento a questo per la logica.

Venendo al rischio di sicurezza , se i dettagli della carta di credito vengono memorizzati localmente, è un rischio grave poiché è possibile accedere ai dati sensibili memorizzati nel dispositivo utente malintenzionato che ottiene l'accesso fisico al dispositivo. Inoltre, se il dispositivo è rootato, ovvero le misure di sicurezza del sistema operativo sono aggirate dal proprietario del dispositivo, è possibile accedere a questi dati anche da remoto tramite un'applicazione dannosa installata sullo stesso dispositivo.

    
risposta data 22.02.2018 - 14:19
fonte

Leggi altre domande sui tag

Test strutturali XML dal punto di vista della sicurezza Lavorare direttamente con $ _POST è sicuro?