android:debuggable

OWASP カテゴリ: MASVS-PLATFORM: プラットフォームのインタラクション

概要

android:debuggable 属性はアプリがデバッグ可能かどうかを定めます。アプリ全体に対して設定され、個々のコンポーネントでオーバーライドすることはできません。この属性はデフォルトで false に設定されています。

アプリをデバッグ可能にすること自体は脆弱性ではありませんが、管理機能への意図しない不正アクセスにより、アプリがより大きなリスクにさらされることになります。これにより、想定した以上に攻撃者がアプリとアプリが使用するリソースにアクセスできてしまう可能性があります。

影響

android:debuggable フラグを true に設定すると、攻撃者がアプリをデバッグすることが可能となり、アプリの中のセキュリティを維持すべき部分にアクセスしやすくなります。

リスクの軽減

アプリを配布する際に、必ず android:debuggable フラグを false に設定します。