Configuração de DNS não segura
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Categoria do OWASP: MASVS-NETWORK - Comunicação em rede (link em inglês)
Visão geral
Configurações de DNS não seguras podem ocorrer quando os desenvolvedores personalizam o comportamento de transporte de DNS de um aplicativo, ignoram os padrões do dispositivo ou quando um usuário especifica um servidor DNS particular no Android 9 e versões mais recentes. O desvio de configurações de DNS boas e conhecidas pode deixar os usuários vulneráveis a ataques como spoofing de DNS ou envenenamento de cache de DNS, permitindo que invasores redirecionem o tráfego do usuário para sites maliciosos.
Impacto
Se um invasor de rede malicioso conseguir falsificar o DNS, ele poderá redirecionar o usuário discretamente para um site controlado por ele, sem despertar suspeitas. Por exemplo, esse site malicioso pode fazer phishing de informações de identificação pessoal do usuário, causar uma negação de serviço ou redirecionar o usuário para sites sem notificação.
Risco: segurança de transporte de DNS vulnerável
As configurações de DNS personalizadas podem permitir que os apps ignorem a segurança de transporte
integrada do Android para DNS no Android 9 e versões mais recentes.
Mitigações
Usar o SO Android para processar o tráfego de DNS
Permita que o SO Android processe o DNS. Desde o nível 28 do SDK, o Android adicionou
segurança ao transporte DNS com DNS via TLS e, depois, DNS via HTTP/3 no nível
30 do SDK.
Usar o nível do SDK >=28
Atualize o nível do SDK para pelo menos 28. É importante observar que essa mitigação
requer comunicação com servidores DNS públicos conhecidos e seguros, como os que podem ser
encontrados aqui.
Recursos
O conteúdo e os exemplos de código nesta página estão sujeitos às licenças descritas na Licença de conteúdo. Java e OpenJDK são marcas registradas da Oracle e/ou suas afiliadas.
Última atualização 2025-07-27 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-27 UTC."],[],[],null,["# Insecure DNS Setup\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-NETWORK: Network Communication](https://mas.owasp.org/MASVS/08-MASVS-NETWORK)\n\nOverview\n--------\n\nInsecure DNS configurations can occur when developers customize an application's\nDNS transport behavior, bypass device defaults, or when a user specifies a\nprivate DNS server in Android 9 and later. Deviation from known good DNS\nconfigurations can leave users vulnerable to attacks like DNS Spoofing or DNS\ncache poisoning, allowing attackers to redirect user traffic to malicious sites.\n\nImpact\n------\n\nIf a malicious network attacker is able to spoof DNS, they can discreetly\nredirect the user to a website they control, without arousing the user's\nsuspicion. This malicious website could, for example, phish the user for\npersonally identifiable information, cause a denial of service for the user, or\nredirect the user to websites without notification.\n\nRisk: Vulnerable DNS Transport Security\n---------------------------------------\n\nCustom DNS configurations may allow apps to bypass Android's built-in transport\nsecurity for DNS in Android 9 and higher.\n\n### Mitigations\n\n#### Use the Android OS to handle DNS traffic\n\nAllow the Android OS to handle DNS. Since SDK level 28, Android has added\nsecurity to DNS transport through DNS over TLS, and then DNS over HTTP/3 in SDK\nlevel 30.\n\n#### Use SDK level \\\u003e=28\n\nUpdate SDK level to at least 28. It should be noted that this mitigation\nrequires communication with well-known and secure public DNS servers such as can\nbe found [here](https://dnsprivacy.org/public_resolvers/).\n\nResources\n---------\n\n- [Resolve DNS queries](/training/basics/network-ops/connecting#lookup-dns)\n- [Java reference for DnsResolver Class](/reference/android/net/DnsResolver)\n- [Android Security Blog post about DNS-over-HTTP/3](https://security.googleblog.com/2022/07/dns-over-http3-in-android.html)\n- [Overview of secure transport for DNS](https://developers.google.com/speed/public-dns/docs/secure-transports)\n- [Android Developer Blog post about DNS over TLS](https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html)"]]
