Rendendo la tua app più sicura, contribuisci a preservare la fiducia degli utenti e l'integrità del dispositivo.
Questa pagina presenta una serie di problemi di sicurezza comuni affrontati dagli sviluppatori di app per Android. Puoi utilizzare questi contenuti nei seguenti modi:
- Scopri di più su come proteggere in modo proattivo le tue app.
- Scopri come reagire nel caso in cui uno di questi problemi venga rilevato nella tua app.
L'elenco seguente contiene i link alle pagine dedicate a ciascun problema, ordinati in categorie in base ai controlli OWASP MASVS. Ogni pagina include un riepilogo, una dichiarazione sull'impatto e suggerimenti per attenuare il rischio per la tua app.
MASVS-STORAGE: archiviazione
Descrizione della categoria OWASP
- Directory esposte in modo improprio a FileProvider
- Informativa relativa ai log
- Attraversamento percorso
- Dati sensibili archiviati in unità di archiviazione esterne
- Zip Path Traversal
MASVS-CRYPTO: crittografia
Descrizione della categoria OWASP
MASVS-NETWORK: Network Communication
Descrizione della categoria OWASP
MASVS-PLATFORM: Interazione con la piattaforma
Descrizione della categoria OWASP
- Risolvere i contenuti
- Compromissione di intent implicita
- Utilizzo di API non sicure
- Broadcast receiver non sicuri
- Reindirizzamento di intent
- Controllo dell'accesso ai componenti esportati in base alle autorizzazioni
- PendingIntent
- Mittente di PendingIntent
- Mittenti permanenti
- Vulnerabilità dell'attacco di StraandHogg / affinità delle attività
- Tapjacking
- Utilizzo non sicuro dei link diretti
- WebView – Ponti nativi
- android:debuggable
- android:exported
MASVS-CODE: qualità del codice
Descrizione della categoria OWASP
- Cross-app scripting
- Autorizzazioni personalizzate
- createPackageContext
- Caricamento di codice dinamico
- Nome file fornito da ContentProvider in modo improprio
- API o libreria non sicura
- Configurazione non sicura della comunicazione macchina-macchina
- Best practice per la sicurezza per i backup
- Gestione sicura degli appunti
- SQL injection
- Funzionalità di test/debug
- Deserializzazione non sicura
- Nome hostVerifier non sicuro
- X509TrustManager non sicuro
- Utilizzo di codice nativo
- Inserimento di entità esterne XML
- WebViews - Caricamento URI non sicuro