¿Por qué mi aplicación Cordova contiene un archivo SQLite con tablas de tarjetas de crédito?

0

Hemos creado una aplicación móvil que incluye una vista para el pago con tarjetas de crédito. Hemos utilizado Cordova para poder publicar nuestra aplicación para Android e iOS. Durante algunas pruebas, se encontró un archivo SQLite en /data/data/[package]/app_webview/Web Data . Este archivo incluye tablas llamadas credit_card y whaever_credit_card . Aquellos que encontraron ese archivo no mencionaron si este archivo realmente contiene números de tarjetas de crédito o está vacío.

He buscado este problema y he encontrado una explicación para él, pero no estoy seguro de si está bien:

  • Es un archivo creado por la vista web de Android para propósitos de llenado automático de tarjetas de crédito.
  • Solo se puede acceder con permisos de raíz.

Solo para asegurarnos, no estamos haciendo nada con la tarjeta de crédito que el usuario inserta en el campo de entrada.

¿Alguien puede dar más detalles sobre los riesgos de seguridad? ¿Alguien puede proponer una manera de eliminar el archivo o deshabilitarlo con javascript en cordova o plugin?

    
pregunta Elo 10.02.2018 - 09:14
fuente

1 respuesta

0

El / data / data / packagename / app_webview / * almacena el caché de webview. La base de datos Web Data.db es la base de datos predeterminada que se crea para almacenar en caché los datos de webview y se crean todas las tablas como credit_cards , masked_credit_cards de forma predeterminada, independientemente de la aplicación que lo use o no.

En primer lugar, le sugiero que solicite a su auditor de la aplicación que comparta los POC (Prueba de concepto), si los datos confidenciales se almacenan en el almacenamiento de datos local de la aplicación.

Le sugeriría lo siguiente para deshacerse del caché:

  1. Para la aplicación Cordova, puede usar este complemento para eliminar el caché de la vista web.
  2. También puede eliminar la carpeta ( / data / data / packagename / app_webview / * ) programáticamente cuando se destruye la vista web. Puede consultar esto para la lógica.

En cuanto al riesgo de seguridad , si los datos de la tarjeta de crédito se almacenan localmente, es un riesgo grave , ya que los datos confidenciales almacenados en el dispositivo pueden ser accedidos por un Usuario malicioso que obtiene el acceso físico al dispositivo. Además, si el dispositivo está rooteado, es decir, las medidas de seguridad del sistema operativo son eludidas por el propietario del dispositivo, también se puede acceder a estos datos de manera remota a través de una aplicación maliciosa instalada en el mismo dispositivo.

    
respondido por el Shiv Sahni 22.02.2018 - 14:19
fuente

Lea otras preguntas en las etiquetas