Unsichere DNS-Einrichtung
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
OWASP-Kategorie:MASVS-NETWORK: Network Communication
Übersicht
Unsichere DNS-Konfigurationen können auftreten, wenn Entwickler das DNS-Transportverhalten einer Anwendung anpassen, Gerätestandards umgehen oder wenn ein Nutzer in Android 9 und höher einen privaten DNS-Server angibt. Abweichungen von bekannten guten DNS-Konfigurationen können Nutzer anfällig für Angriffe wie DNS-Spoofing oder DNS-Cache-Poisoning machen. Dadurch können Angreifer den Nutzer-Traffic auf schädliche Websites umleiten.
Positiv beeinflussen
Wenn ein böswilliger Netzwerkangreifer DNS-Spoofing durchführen kann, kann er den Nutzer unauffällig auf eine von ihm kontrollierte Website umleiten, ohne dass der Nutzer Verdacht schöpft. Auf dieser schädlichen Website könnten beispielsweise personenidentifizierbare Informationen des Nutzers abgefangen, ein Denial-of-Service für den Nutzer verursacht oder der Nutzer ohne Benachrichtigung auf andere Websites weitergeleitet werden.
Risiko: Anfällige DNS-Transportsicherheit
Benutzerdefinierte DNS-Konfigurationen können es Apps ermöglichen, die integrierte Transportsicherheit für DNS in Android 9 und höher zu umgehen.
Maßnahmen zur Risikominderung
DNS-Traffic über das Android-Betriebssystem verarbeiten
Android-Betriebssystem darf DNS verarbeiten. Seit SDK-Level 28 hat Android die Sicherheit des DNS-Transports durch DNS over TLS und dann durch DNS over HTTP/3 in SDK-Level 30 erhöht.
SDK-Level >=28 verwenden
Aktualisieren Sie das SDK-Level auf mindestens 28. Für diese Maßnahme ist eine Kommunikation mit bekannten und sicheren öffentlichen DNS-Servern erforderlich, die hier zu finden sind.
Ressourcen
Alle Inhalte und Codebeispiele auf dieser Seite unterliegen den Lizenzen wie im Abschnitt Inhaltslizenz beschrieben. Java und OpenJDK sind Marken oder eingetragene Marken von Oracle und/oder seinen Tochtergesellschaften.
Zuletzt aktualisiert: 2025-07-27 (UTC).
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Benötigte Informationen nicht gefunden","missingTheInformationINeed","thumb-down"],["Zu umständlich/zu viele Schritte","tooComplicatedTooManySteps","thumb-down"],["Nicht mehr aktuell","outOfDate","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Problem mit Beispielen/Code","samplesCodeIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-27 (UTC)."],[],[],null,["# Insecure DNS Setup\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-NETWORK: Network Communication](https://mas.owasp.org/MASVS/08-MASVS-NETWORK)\n\nOverview\n--------\n\nInsecure DNS configurations can occur when developers customize an application's\nDNS transport behavior, bypass device defaults, or when a user specifies a\nprivate DNS server in Android 9 and later. Deviation from known good DNS\nconfigurations can leave users vulnerable to attacks like DNS Spoofing or DNS\ncache poisoning, allowing attackers to redirect user traffic to malicious sites.\n\nImpact\n------\n\nIf a malicious network attacker is able to spoof DNS, they can discreetly\nredirect the user to a website they control, without arousing the user's\nsuspicion. This malicious website could, for example, phish the user for\npersonally identifiable information, cause a denial of service for the user, or\nredirect the user to websites without notification.\n\nRisk: Vulnerable DNS Transport Security\n---------------------------------------\n\nCustom DNS configurations may allow apps to bypass Android's built-in transport\nsecurity for DNS in Android 9 and higher.\n\n### Mitigations\n\n#### Use the Android OS to handle DNS traffic\n\nAllow the Android OS to handle DNS. Since SDK level 28, Android has added\nsecurity to DNS transport through DNS over TLS, and then DNS over HTTP/3 in SDK\nlevel 30.\n\n#### Use SDK level \\\u003e=28\n\nUpdate SDK level to at least 28. It should be noted that this mitigation\nrequires communication with well-known and secure public DNS servers such as can\nbe found [here](https://dnsprivacy.org/public_resolvers/).\n\nResources\n---------\n\n- [Resolve DNS queries](/training/basics/network-ops/connecting#lookup-dns)\n- [Java reference for DnsResolver Class](/reference/android/net/DnsResolver)\n- [Android Security Blog post about DNS-over-HTTP/3](https://security.googleblog.com/2022/07/dns-over-http3-in-android.html)\n- [Overview of secure transport for DNS](https://developers.google.com/speed/public-dns/docs/secure-transports)\n- [Android Developer Blog post about DNS over TLS](https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html)"]]
