android:แก้ไขข้อบกพร่องได้

หมวดหมู่ OWASP: MASVS-PLATFORM: การโต้ตอบกับแพลตฟอร์ม

ภาพรวม

android:debuggable แอตทริบิวต์จะกำหนดว่าแอปพลิเคชันสามารถ แก้ไขข้อบกพร่องได้หรือไม่ โดยจะตั้งค่าสำหรับแอปพลิเคชันทั้งระบบและคอมโพเนนต์แต่ละรายการจะลบล้างไม่ได้ แอตทริบิวต์นี้จะตั้งค่าเป็น false โดยค่าเริ่มต้น

การอนุญาตให้แอปพลิเคชันสามารถแก้ไขข้อบกพร่องได้ในตัวแอปเองไม่ใช่ช่องโหว่ แต่ จะทำให้แอปพลิเคชันมีความเสี่ยงมากขึ้นผ่านการเข้าถึงฟังก์ชันการดูแลระบบโดยไม่ตั้งใจและ ไม่ได้รับอนุญาต ซึ่งอาจทําให้ผู้โจมตีมีสิทธิ์เข้าถึงแอปพลิเคชันและทรัพยากรที่แอปพลิเคชันใช้มากกว่าที่ตั้งใจไว้

ผลกระทบ

การตั้งค่าแฟล็ก android:debuggable เป็น "จริง" จะช่วยให้ผู้โจมตีแก้ไขข้อบกพร่องของแอปพลิเคชันได้ ซึ่งทำให้ผู้โจมตีเข้าถึงส่วนต่างๆ ของแอปพลิเคชันที่ควรเก็บไว้ให้ปลอดภัยได้ง่ายขึ้น

การลดปัญหา

อย่าลืมตั้งค่าแฟล็ก android:debuggable เป็น false เมื่อจัดส่งแอปพลิเคชัน