צמצום סיכוני האבטחה באפליקציה

כשמשפרים את האבטחה של האפליקציה, עוזרים לשמור על אמון המשתמשים ועל תקינות המכשיר.

בדף הזה מוצגת קבוצה של בעיות אבטחה נפוצות שמפתחי אפליקציות ל-Android נתקלים בהן. אפשר להשתמש בתוכן הזה בדרכים הבאות:

• מידע נוסף על אבטחה יזומה של אפליקציות
• מה עושים אם אחת מהבעיות האלה מתגלה באפליקציה?

ברשימה הבאה מופיעים קישורים לדפים ייעודיים לכל בעיה, שממוינים לפי קטגוריות על סמך אמצעי הבקרה של OWASP MASVS. כל דף כולל סיכום, הצהרת השפעה וטיפים לצמצום הסיכון לאפליקציה.

MASVS-STORAGE: אחסון

תיאור הקטגוריה של OWASP

• חשיפת ספריות ל-FileProvider באופן שגוי
• חשיפת פרטי יומנים
• Path traversal
• מידע רגיש שמאוחסן באחסון חיצוני
• WebViews – Unsafe File Inclusion
• התקפת Path Traversal בקובץ ZIP

MASVS-CRYPTO: קריפטוגרפיה

תיאור הקטגוריה של OWASP

• אלגוריתם קריפטוגרפי שסופק עם שגיאות או מסוכן
• סודות קריפטוגרפיים שמוגדרים בקוד
• מקור גרסאות אקראיות חלש (PRNG)

MASVS-NETWORK: תקשורת רשת

תיאור הקטגוריה של OWASP

• תקשורת בטקסט ללא הצפנה
• הגדרת DNS לא מאובטחת
• Unsafe Download Manager

MASVS-PLATFORM: Platform Interaction

תיאור הקטגוריה של OWASP

• פותרי תוכן
• השתלטות על Implicit Intent
• שימוש לא מאובטח ב-API
• מקבלי שידורים לא מאובטחים
• הפניה אוטומטית של כוונה
• בקרת גישה מבוססת-הרשאות לרכיבים המיוצאים
• כוונות בהמתנה
• שולח של כוונות בהמתנה
• שידורים מוצמדים
• התקפת StrandHogg / נקודת חולשה של Task Affinity
• Tapjacking
• שימוש לא בטוח בקישורי עומק
• WebView – גשרים מקומיים
• android:debuggable
• android:exported

MASVS-CODE: איכות הקוד

תיאור הקטגוריה של OWASP

• החדרת סקריפטים זדוניים לאפליקציות
• הרשאות בהתאמה אישית
• createPackageContext
• טעינה של קוד דינמי
• אי-אמון לא תקין בשם הקובץ שסופק על ידי ContentProvider
• API או ספרייה לא מאובטחים
• הגדרה לא מאובטחת של תקשורת בין מכונות
• שיטות מומלצות לאבטחה של גיבויים
• טיפול מאובטח בלוח
• הזרקת SQL
• תכונות בדיקה/ניפוי באגים
• פירוק לא בטוח של אובייקטים
• HostnameVerifier לא מאובטח
• X509TrustManager לא מאובטח
• שימוש בקוד מקורי
• הזרקה של ישויות חיצוניות ב-XML
• תצוגות אינטרנט – טעינת URI לא בטוח