Защищает ли Android WebView сохраненные пароли?

Question

У нас есть приложение, которое мы хотим выпустить, это просто WebView, которое указывает на наш мобильный сайт, защищенный паролем.В настоящее время мы планируем разрешить пользователям доступ к функциональности «сохранить пароль» в WebView, но я не уверен, что это безопасно.

Если пароль не хранится в зашифрованном и защищенном виде, то нам придется на данный момент просто запретить доступ к этой функции и позже разработать более долгосрочное решение.сохраняет пароль через WebView на Android в зашифрованном виде / безопасный?

Answer 1

Нет, это не безопасно.

Пароль хранится в виде простого текста (они даже не хэшируются!) В базе данных, поэтому, если у пользователя есть рутированное устройство (или он использует эмулятор), он может получить доступ к базе данных и украсть сохраненные пароли для данного пользователя. сайты.

У меня была похожая проблема с хранением паролей WebView, и я сделал это, но для этого потребовалась перекомпиляция WebKit и использование настраиваемого двоичного файла sqlitedb.so с включенным шифрованием. Я бы не рекомендовал это, если хранение паролей не является лучшим вариантом для приложения, которое вы разрабатываете. Слишком много усилий с небольшим усилением.