Cleartext Storage Of Sensitive Information

Cleartext Storage Of Sensitive Information Nedir?

• Mobil uygulamalar cachelemek istediği verileri genelde uygulamanın dizini altındaki dosyalarda saklar.

• Eğer uygulama tcno, username, password, ad soyad, auth_token gibi verileri şifrelemeden tutuyor ise cihazı ele geçiren bir saldırgan bu verileri ele geçirebilir.

• Genelde düşük seviyeli bir zafiyettir.

Bulunabilecek Dizinler

# Ana uygulama dizini
cd /data/data/com.example.android/

/data/data/com.example.android/databases/
/data/data/com.example.android/shared_prefs/
/data/data/com.example.android/files/
/data/data/com.example.android/cache/
/data/data/com.example.android/app_webview/

Kaynaklar

• CWE-312: Cleartext Storage of Sensitive Information

• M2: Insecure Data Storage