Catégorie OWASP : MASVS-PLATFORM : interaction avec la plate-forme
Présentation
L'attribut android:debuggable détermine si l'application peut être déboguée. Il est défini pour l'application dans son ensemble et ne peut pas être ignoré par des composants individuels. La valeur de l'attribut est false par défaut.
Autoriser le débogage de l'application n'est en soi pas une faille, mais cela expose l'application à un risque plus important (accès involontaire et non autorisé aux fonctions d'administration). Les pirates informatiques peuvent ainsi accéder plus facilement que prévu à l'application et aux ressources qu'elle utilise.
Impact
Définir l'indicateur android:debuggable sur "true" permet à un pirate informatique de déboguer l'application et d'accéder plus facilement aux parties de l'application qui devraient être sécurisées.
Stratégies d'atténuation
Veillez toujours à définir l'indicateur android:debuggable sur false lorsque vous envoyez votre application.
Recommandations personnalisées
- Remarque : Le texte du lien s'affiche lorsque JavaScript est désactivé
- android:exported