โจ๏ธKeyboard press caching
Description
Dans certaines applications, il arrive que celle-ci ai besoin d'enregistrer les frappes clavier pour proposer un prรฉremplissage de l'entrรฉe utilisateur. Cette fonctionnalitรฉ peut par exemple รชtre utile dans le cas d'applications de messagerie. Cependant, le cache du clavier peut divulguer et faire fuiter des informations sensibles. La vulnรฉrabilitรฉ "Mise en cache des frappes clavier" survient lorsque cette mise en cache n'est pas faite de maniรจre sรฉcurisรฉ.
Dรฉtection
Analyse statique
Via le fichier de base de donnรฉes
On peut retrouver le fichier de cache clavier ร l'emplacement:
/data/data/com.android.providers.userdictionary/databases/user_dict.db
Dans la balise <EditText>
Dans la dรฉfinition de mise en page d'une activitรฉ, vous pouvez dรฉfinir des TextViews
qui ont des attributs XML. Si la L'attribut XML android:inputType
reรงoit la valeur textNoSuggestions
, le cache du clavier ne s'affichera pas lorsque le champ de saisie est sรฉlectionnรฉ. L'utilisateur devra tout saisir ร la main. Autrement, la suggestion d'autocompletion restera activรฉ et pourra รชtre retrouvรฉ dans le cache.
Exemple:
Analyse dynamique
En analyse dynamique, il suffit simplement de tapper quelque chose dans un champs de l'application et regarder si des suggestions sont donnรฉes.
Derniรจre mise ร jour