SQLite敏感信息¶
0x01 漏洞描述¶
ndroid中有些时候会将一些隐私数据存放在sqlite数据库中,在root过的手机中通过RE就能够轻松的打开并查看数据库所有内容。
0x02 漏洞危害¶
SQLite不支持加密,应用中重要的数据、账号密码等容易被泄露。
0x03 修复意见¶
3.1 加密数据库内容¶
在存储数据时加密内容,在查询时进行解密。但是这种方式不能彻底加密,数据库的表结构等信息还是能被查看到,另外检索数据也是一个问题。
3.2 加密数据库文件¶
借助SQLCipher。SQLCipher是一个在SQLite基础之上进行扩展的开源数据库,它主要是在SQLite的基础之上增加了数据加密功能。
- 加密性能高、开销小,只要5-15%的开销用于加密
- 完全做到数据库100%加密
- 采用良好的加密方式(CBC加密模式)
- 使用方便,做到应用级别加密
- 采用OpenSSL加密库提供的算法