Перейти к содержанию

Хранение sensitive-информации в защищённой базе данных

Критичность: ИНФО
Способ обнаружения: DAST, API

Описание

Приложение хранит чувствительную информацию в защищенной базе данных. В общем случае это не является уязвимостью, но необходимо удостовериться, что для шифрования базы данных используется надежный пароль.

Найденные чувствительные данные используется системой для поиска их использования или хранения в собранных данных.

Рекомендации

Для защиты от перехвата данных в runtime необходимо использовать защитные меры по обнаружению инструментации приложения и обнаружению root-доступа. Одним из хороших способов является использование библиотек DetectFrida и DetectMagiskHide. Данные библиотеки реализуют проверки в нативном коде, что существенно усложняет их анализ и модификацию.

Ссылки

  1. https://github.com/sqlcipher/android-database-sqlcipher

  2. https://github.com/darvincisec/DetectMagiskHide

  3. https://github.com/darvincisec/DetectFrida

  4. https://darvincitech.wordpress.com/2019/12/23/detect-frida-for-android/

  5. https://darvincitech.wordpress.com/2019/11/04/detecting-magisk-hide/

  6. https://github.com/OWASP/owasp-stg/blob/master/Document/0x05d-Testing-Data-Storage.md#sqlite-databases-encrypted

К началу