【Android安全】WebView密码明文保存漏洞

原文地址：http://wolfeye.baidu.com/blog/webview-setsavepassword/

漏洞描述

在使用

WebView

的过程中忽略了

WebView setSavePassword

，当用户选择保存在

WebView

中输入的用户名和密码，则会被明文保存到应用数据目录的

databases/webview.db

中。如果手机被

root

就可以获取明文保存的密码，造成用户的个人敏感数据泄露。

解决方案

使用

WebView.getSettings().setSavePassword(false)

来禁止保存密码