OWASP MASTG项目：Android键盘缓存安全测试指南

键盘缓存的安全风险

在Android应用开发中，键盘缓存是一个容易被忽视但潜在风险较高的安全特性。默认情况下，Android系统会记录用户在文本输入框中输入的内容，以便下次输入相似内容时提供自动补全建议。虽然这提升了用户体验，但对于处理敏感信息的应用（如银行、医疗类应用）来说，这种缓存机制可能导致用户隐私数据泄露。

测试目标与方法

MASTG-TEST-0006测试项的核心目标是验证应用是否正确地禁用了键盘缓存功能，特别是对于包含敏感信息的输入字段。测试人员需要检查以下关键点：

1. 输入字段属性检查：通过检查布局XML文件或运行时UI分析，确认敏感输入字段是否设置了正确的属性来禁用缓存。

2. 实际行为验证：通过实际操作验证键盘缓存是否确实被禁用，而不仅仅是检查代码声明。

详细测试步骤

静态代码分析

对于使用XML布局的应用，检查敏感输入字段（如密码框、信用卡号输入框等）是否包含以下属性：

android:inputType="textNoSuggestions"

或者更严格的设置：

android:inputType="textFilter"

对于动态创建的输入字段，检查Java/Kotlin代码中是否调用了相应方法：

editText.setInputType(InputType.TYPE_TEXT_FLAG_NO_SUGGESTIONS);

动态行为测试

1. 在目标应用的敏感输入字段中输入测试内容
2. 退出当前输入界面
3. 重新进入相同输入字段，观察键盘是否显示之前的输入建议
4. 尝试在不同输入字段中输入相似内容，验证建议是否出现

进阶测试技巧

• 使用Android Studio的Layout Inspector工具实时查看输入字段属性
• 对于WebView中的输入字段，检查是否设置了autocomplete="off"属性
• 验证自定义输入控件是否正确处理了缓存行为

常见问题与解决方案

开发人员常犯的错误包括：

1. 仅在前端禁用缓存：只在客户端禁用缓存是不够的，服务端也应验证输入数据的合法性。

2. 混淆输入类型：将密码字段错误地设置为普通文本类型，导致缓存生效。

3. 自定义控件遗漏：在自定义输入控件中忘记实现缓存禁用逻辑。

最佳实践建议

1. 对所有可能涉及敏感信息的输入字段统一禁用缓存
2. 在应用安全策略文档中明确键盘缓存处理规范
3. 定期进行渗透测试验证缓存控制的有效性
4. 考虑使用安全键盘替代系统键盘以增强安全性

测试工具推荐

1. Android Studio Layout Inspector - 用于分析运行时UI组件属性
2. ADB命令工具 - 用于提取和分析应用布局文件
3. 自动化测试框架 - 如Appium可用于编写自动化测试脚本验证缓存行为

通过全面实施这些测试方法和最佳实践，可以显著降低因键盘缓存导致的数据泄露风险，确保应用符合OWASP MASVS存储安全要求。