LogCat敏感信息¶
0x01 漏洞描述¶
在 Android 中有一种名为 LogCat 的日志机制,不仅系统日志信息,还有应用日志信息也会输出到LogCat。
开发人员通常会通过打印出的日志信息来分析、定位问题。如果对外发布版本的时候,忘记关闭相关的日志打印。LogCat 中的日志信息可以从同一设备中的其他应用中读出,敏感信息不应输出到LogCat,因此向Logcat输出敏感信息的应用,被认为具有信息泄露的漏洞。
0x02 漏洞危害¶
攻击者通过调试可获取到logcat输出的敏感信息,造成敏感信息泄漏
0x03 修复意见¶
-
在发行版应用中,最好不要输出任何日志。
-
为了APP的错误采集,异常反馈,必要的日志如要被输出,需遵循安全编码规范将风险控制在最小范围内
具体代码及实现请参考: