OWASP kategorisi: MASVS-NETWORK: Ağ İletişimi
Genel Bakış
Geliştiriciler bir uygulamanın DNS aktarım davranışını özelleştirdiğinde, cihaz varsayılanlarını atladığında veya bir kullanıcı Android 9 ve sonraki sürümlerde özel bir DNS sunucusu belirttiğinde güvenli olmayan DNS yapılandırmaları oluşabilir. Bilinen iyi DNS yapılandırmalarından sapma, kullanıcıları DNS adres sahteciliği veya DNS önbellek zehirlenmesi gibi saldırılara karşı savunmasız bırakabilir. Bu da saldırganların kullanıcı trafiğini kötü amaçlı sitelere yönlendirmesine olanak tanır.
Etki
Kötü niyetli bir ağ saldırganı DNS sahteciliği yapabilirse kullanıcının şüphesini çekmeden onu kontrol ettiği bir web sitesine yönlendirebilir. Bu kötü amaçlı web sitesi, örneğin, kimliği tanımlayabilecek bilgiler için kullanıcının kimlik avına maruz kalmasına, kullanıcının hizmet reddiyle karşılaşmasına veya kullanıcıyı bildirimde bulunmadan web sitelerine yönlendirmesine neden olabilir.
Risk: Güvenlik açığı olan DNS aktarım güvenliği
Özel DNS yapılandırmaları, uygulamaların Android 9 ve sonraki sürümlerde Android'in DNS için yerleşik aktarım güvenliğini atlamasına izin verebilir.
Risk azaltma önlemleri
DNS trafiğini işlemek için Android işletim sistemini kullanma
Android OS'nin DNS'yi işlemesine izin verin. Android, SDK düzeyi 28'den itibaren TLS üzerinden DNS ile DNS aktarımına, ardından SDK düzeyi 30'da HTTP/3 üzerinden DNS ile DNS aktarımına güvenlik ekledi.
SDK düzeyini >=28 olarak ayarlayın.
SDK düzeyini en az 28'e güncelleyin. Bu azaltma işleminin, burada bulunabilecek iyi bilinen ve güvenli genel DNS sunucularıyla iletişim kurulmasını gerektirdiği unutulmamalıdır.
Kaynaklar
- DNS sorgularını çözme
- DnsResolver sınıfı için Java referansı
- DNS-over-HTTP/3 hakkında Android Güvenlik Blogu yayını
- DNS için güvenli aktarıma genel bakış
- TLS üzerinden DNS hakkında Android Geliştiricileri Blogu yayını