原文地址:http://wolfeye.baidu.com/blog/webview-setsavepassword/
漏洞描述
在使用
WebView
的过程中忽略了
WebView setSavePassword
,当用户选择保存在
WebView
中输入的用户名和密码,则会被明文保存到应用数据目录的
databases/webview.db
中。如果手机被
root
就可以获取明文保存的密码,造成用户的个人敏感数据泄露。
解决方案
使用
WebView.getSettings().setSavePassword(false)
来禁止保存密码