כשמשפרים את האבטחה של האפליקציה, עוזרים לשמור על אמון המשתמשים ועל תקינות המכשיר.
בדף הזה מוצגת קבוצה של בעיות אבטחה נפוצות שמפתחי אפליקציות ל-Android נתקלים בהן. אפשר להשתמש בתוכן הזה בדרכים הבאות:
- מידע נוסף על אבטחה יזומה של אפליקציות
- מה עושים אם אחת מהבעיות האלה מתגלה באפליקציה?
ברשימה הבאה מופיעים קישורים לדפים ייעודיים לכל בעיה, שממוינים לפי קטגוריות על סמך אמצעי הבקרה של OWASP MASVS. כל דף כולל סיכום, הצהרת השפעה וטיפים לצמצום הסיכון לאפליקציה.
MASVS-STORAGE: אחסון
- חשיפת ספריות ל-FileProvider באופן שגוי
- חשיפת פרטי יומנים
- Path traversal
- מידע רגיש שמאוחסן באחסון חיצוני
- Path Traversal בקובץ ZIP
MASVS-CRYPTO: קריפטוגרפיה
MASVS-NETWORK: תקשורת רשת
MASVS-PLATFORM: אינטראקציה עם הפלטפורמה
- פותרי תוכן
- השתלטות על Implicit Intent
- שימוש לא מאובטח ב-API
- מקבלי שידורים לא מאובטחים
- הפניה אוטומטית של Intent
- בקרת גישה מבוססת-הרשאות לרכיבים המיוצאים
- אובייקטים מסוג Intent בהמתנה
- שולח של מנגנוני Intent בהמתנה
- שידורים במיקום קבוע
- התקפת StrandHogg / נקודת חולשה בזיקה למשימה
- Tapjacking
- שימוש לא בטוח בקישורי עומק
- WebView – גשרים מקומיים
- android:debuggable
- android:exported
קוד MASVS: איכות קוד
- החדרת סקריפטים זדוניים לאפליקציות
- הרשאות בהתאמה אישית
- createPackageContext
- הקוד הדינמי בטעינה
- מתן אמון באופן שגוי בשם קובץ שסופק על ידי ContentProvider
- ספרייה או API לא מאובטחים
- הגדרה לא מאובטחת של תקשורת בין מכונות
- שיטות מומלצות לשמירה על אבטחה של גיבויים
- טיפול מאובטח בלוח
- הזרקת SQL
- תכונות בדיקה/ניפוי באגים
- פירוק לא בטוח של אובייקטים
- HostnameVerifier לא בטוח
- X509TrustManager לא מאובטח
- שימוש בקוד מקורי
- הזרקה של ישויות חיצוניות ב-XML
- רכיבי WebView – טעינת URI לא בטוחה