• 注意复制和粘贴
    • 详细描述
    • 建议
    • CWE/OWASP

    注意复制和粘贴

    详细描述

    iOS和Android都支持复制/粘贴。 敏感数据可以以明文形式存储,恢复或者可以从剪贴板修改,而不管数据的源是否最初被加密。 如果在用户复制它时它是纯文本,当其他应用程序访问剪贴板时,它将是明文。

    例如,它遵循严格的规则,这意味着应用程序不能读取或写入剪贴板,并且使用它的唯一方式是通过用户交互,做长按来弹出剪贴板菜单。

    建议

    在适当情况下,禁用用于处理敏感数据的区域的复制/粘贴。 取消复制选项有助于避免数据暴露。 在Android上,剪贴板可以由任何应用程序访问,因此建议使用经过适当配置的内容提供程序来传输复杂的敏感数据。 在iOS上,考虑用户是否需要在应用程序或系统范围内复制/粘贴数据,并选择适当类型的粘贴板。

    此外,值得注意的是在取得内容后清除剪贴板,以避免其他应用程序读取它们并泄漏用户正在做什么。

    CWE/OWASP

    • M4 - Unintended Data Leakage
    • CWE 200