Configurazione DNS non sicura
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Categoria OWASP: MASVS-NETWORK: Network Communication
Panoramica
Le configurazioni DNS non sicure possono verificarsi quando gli sviluppatori personalizzano il comportamento di trasporto DNS di un'applicazione, ignorano le impostazioni predefinite del dispositivo o quando un utente specifica un server DNS privato in Android 9 e versioni successive. La deviazione dalle configurazioni DNS valide note può rendere gli utenti vulnerabili ad attacchi come DNS spoofing o DNS cache poisoning, consentendo agli autori degli attacchi di reindirizzare il traffico degli utenti a siti dannosi.
Impatto
Se un malintenzionato è in grado di falsificare il DNS, può reindirizzare
l'utente a un sito web che controlla, senza destare i suoi
sospetti. Questo sito web dannoso potrebbe, ad esempio, fare phishing all'utente per ottenere
informazioni che consentono l'identificazione personale, causare un denial of service per l'utente o
reindirizzare l'utente a siti web senza notifica.
Rischio: sicurezza del trasporto DNS vulnerabile
Le configurazioni DNS personalizzate potrebbero consentire alle app di bypassare la sicurezza del trasporto
integrata di Android per il DNS in Android 9 e versioni successive.
Mitigazioni
Utilizzare il sistema operativo Android per gestire il traffico DNS
Consenti al sistema operativo Android di gestire il DNS. A partire dal livello SDK 28, Android ha aggiunto
la sicurezza al trasporto DNS tramite DNS over TLS e poi DNS over HTTP/3 nel livello
SDK 30.
Utilizza il livello SDK >=28
Aggiorna il livello SDK almeno a 28. È importante notare che questa mitigazione
richiede la comunicazione con server DNS pubblici noti e sicuri, come quelli che si possono
trovare qui.
Risorse
I campioni di contenuti e codice in questa pagina sono soggetti alle licenze descritte nella Licenza per i contenuti. Java e OpenJDK sono marchi o marchi registrati di Oracle e/o delle sue società consociate.
Ultimo aggiornamento 2025-07-27 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-27 UTC."],[],[],null,["# Insecure DNS Setup\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-NETWORK: Network Communication](https://mas.owasp.org/MASVS/08-MASVS-NETWORK)\n\nOverview\n--------\n\nInsecure DNS configurations can occur when developers customize an application's\nDNS transport behavior, bypass device defaults, or when a user specifies a\nprivate DNS server in Android 9 and later. Deviation from known good DNS\nconfigurations can leave users vulnerable to attacks like DNS Spoofing or DNS\ncache poisoning, allowing attackers to redirect user traffic to malicious sites.\n\nImpact\n------\n\nIf a malicious network attacker is able to spoof DNS, they can discreetly\nredirect the user to a website they control, without arousing the user's\nsuspicion. This malicious website could, for example, phish the user for\npersonally identifiable information, cause a denial of service for the user, or\nredirect the user to websites without notification.\n\nRisk: Vulnerable DNS Transport Security\n---------------------------------------\n\nCustom DNS configurations may allow apps to bypass Android's built-in transport\nsecurity for DNS in Android 9 and higher.\n\n### Mitigations\n\n#### Use the Android OS to handle DNS traffic\n\nAllow the Android OS to handle DNS. Since SDK level 28, Android has added\nsecurity to DNS transport through DNS over TLS, and then DNS over HTTP/3 in SDK\nlevel 30.\n\n#### Use SDK level \\\u003e=28\n\nUpdate SDK level to at least 28. It should be noted that this mitigation\nrequires communication with well-known and secure public DNS servers such as can\nbe found [here](https://dnsprivacy.org/public_resolvers/).\n\nResources\n---------\n\n- [Resolve DNS queries](/training/basics/network-ops/connecting#lookup-dns)\n- [Java reference for DnsResolver Class](/reference/android/net/DnsResolver)\n- [Android Security Blog post about DNS-over-HTTP/3](https://security.googleblog.com/2022/07/dns-over-http3-in-android.html)\n- [Overview of secure transport for DNS](https://developers.google.com/speed/public-dns/docs/secure-transports)\n- [Android Developer Blog post about DNS over TLS](https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html)"]]
