Хранение sensitive-информации в защищённой базе данных
Критичность: ИНФО | |
Способ обнаружения: DAST, API |
Описание
Приложение хранит чувствительную информацию в защищенной базе данных. В общем случае это не является уязвимостью, но необходимо удостовериться, что для шифрования базы данных используется надежный пароль.
Найденные чувствительные данные используется системой для поиска их использования или хранения в собранных данных.
Рекомендации
Для защиты от перехвата данных в runtime необходимо использовать защитные меры по обнаружению инструментации приложения и обнаружению root-доступа. Одним из хороших способов является использование библиотек DetectFrida и DetectMagiskHide. Данные библиотеки реализуют проверки в нативном коде, что существенно усложняет их анализ и модификацию.