Wenn Sie Ihre App sicherer machen, tragen Sie dazu bei, das Vertrauen der Nutzer und die Geräteintegrität zu wahren.
Auf dieser Seite werden einige häufige Sicherheitsprobleme beschrieben, mit denen Android-App-Entwickler konfrontiert sind. Sie haben folgende Möglichkeiten, diese Inhalte zu verwenden:
- Weitere Informationen zum proaktiven Schutz Ihrer Apps
- Hier erfahren Sie, wie Sie reagieren sollten, wenn eines dieser Probleme in Ihrer App festgestellt wird.
Die folgende Liste enthält Links zu speziellen Seiten für jedes einzelne Problem, die nach den OWASP MASVS-Kontrollen in Kategorien sortiert sind. Jede Seite enthält eine Zusammenfassung, eine Erklärung zu den Auswirkungen und Tipps zur Risikominimierung für Ihre App.
MASVS-STORAGE: Speicher
- Unzulässig freigegebene Verzeichnisse für FileProvider
- Offenlegung von Informationen zu Protokollen
- Pfaddurchlauf
- Im externen Speicher gespeicherte sensible Daten
- WebViews – unsichere Dateieinschlüsse
- Zip Path Traversal
MASVS-CRYPTO: Kryptografie
- Unzureichender oder riskanter kryptografischer Algorithmus
- Hardcodierte kryptografische Geheimnisse
- Schwacher PRNG
MASVS-NETWORK: Netzwerkkommunikation
MASVS-PLATFORM: Plattforminteraktion
- Inhaltsauflöser
- Impliziter Intent-Hijacking
- Unsichere API-Nutzung
- Unsichere Broadcast-Empfänger
- Intent-Weiterleitung
- Berechtigungsbasierte Zugriffssteuerung auf exportierte Komponenten
- Ausstehende Intents
- Absender von ausstehenden Intents
- Fixierte Nachrichten
- StrandHogg-Angriff / Task-Affinitätslücke
- Tapjacking
- Unsichere Verwendung von Deeplinks
- WebView – native Brücken
- android:debuggable
- android:exported
MASVS-CODE: Codequalität
- Cross-App-Scripting
- Benutzerdefinierte Berechtigungen
- createPackageContext
- Dynamisches Laden von Code
- Unzulässiges Vertrauen in vom ContentProvider bereitgestellten Dateinamen
- Unsichere API oder Bibliothek
- Unsichere Einrichtung der Kommunikation zwischen Maschinen
- Best Practices für die Sicherheit von Sicherungen
- Sichere Zwischenablage
- SQL-Injection
- Test-/Fehlerbehebungsfunktionen
- Unsichere Deserialisierung
- Unsicherer HostnameVerifier
- Unsicherer X509TrustManager
- Nutzung von Native Code
- Injection von externen XML-Entitäten
- Webviews – Laden unsicheren URIs