跳转至

SQLite敏感信息

0x01 漏洞描述

ndroid中有些时候会将一些隐私数据存放在sqlite数据库中,在root过的手机中通过RE就能够轻松的打开并查看数据库所有内容。

0x02 漏洞危害

SQLite不支持加密,应用中重要的数据、账号密码等容易被泄露。

0x03 修复意见

3.1 加密数据库内容

在存储数据时加密内容,在查询时进行解密。但是这种方式不能彻底加密,数据库的表结构等信息还是能被查看到,另外检索数据也是一个问题。

3.2 加密数据库文件

借助SQLCipher。SQLCipher是一个在SQLite基础之上进行扩展的开源数据库,它主要是在SQLite的基础之上增加了数据加密功能。

  • 加密性能高、开销小,只要5-15%的开销用于加密
  • 完全做到数据库100%加密
  • 采用良好的加密方式(CBC加密模式)
  • 使用方便,做到应用级别加密
  • 采用OpenSSL加密库提供的算法