跳转至

LogCat敏感信息

0x01 漏洞描述

在 Android 中有一种名为 LogCat 的日志机制,不仅系统日志信息,还有应用日志信息也会输出到LogCat。

开发人员通常会通过打印出的日志信息来分析、定位问题。如果对外发布版本的时候,忘记关闭相关的日志打印。LogCat 中的日志信息可以从同一设备中的其他应用中读出,敏感信息不应输出到LogCat,因此向Logcat输出敏感信息的应用,被认为具有信息泄露的漏洞。

0x02 漏洞危害

攻击者通过调试可获取到logcat输出的敏感信息,造成敏感信息泄漏

0x03 修复意见

  • 在发行版应用中,最好不要输出任何日志。

  • 为了APP的错误采集,异常反馈,必要的日志如要被输出,需遵循安全编码规范将风险控制在最小范围内

具体代码及实现请参考: