Poprawiając bezpieczeństwo aplikacji, przyczyniasz się do zachowania zaufania użytkowników i integralności urządzenia.
Ta strona przedstawia zestaw częstych problemów z bezpieczeństwem, z którymi stykają się deweloperzy aplikacji na Androida. Możesz używać tych treści na te sposoby:
- Dowiedz się więcej o profilaktyce w zakresie bezpieczeństwa aplikacji.
- Dowiedz się, jak postępować, jeśli w Twojej aplikacji zostanie wykryty jeden z tych problemów.
Poniższa lista zawiera linki do stron poświęconych poszczególnym problemom, posortowanych według kategorii na podstawie kontroli OWASP MASVS. Każda strona zawiera podsumowanie, oświadczenie o wpływie i wskazówki dotyczące zmniejszenia ryzyka dla aplikacji.
MASVS-STORAGE: miejsce na dane
- Nieprawidłowo udostępnione katalogi do FileProvider
- Ujawnianie informacji o logach
- Omijanie ścieżki
- Dane wrażliwe przechowywane na zewnętrznym urządzeniu do przechowywania danych
- Przemierzanie ścieżki ZIP
MASVS-CRYPTO: Kryptografia
- Nieprawidłowy lub ryzykowny algorytm kryptograficzny
- Wkodowane w kodzie tajne klucze kryptograficzne
- Słaby generator liczb pseudolosowych
MASVS-NETWORK: Komunikacja sieciowa
- Komunikacja w formie tekstu nieszyfrowanego
- Niebezpieczna konfiguracja DNS
- Niebezpieczny Menedżer pobierania
MASVS-PLATFORM: interakcja z platformą
- Rozwiązania dotyczące treści
- Przejęcie niejawnej intencji
- Niebezpieczne korzystanie z interfejsu API
- Niezabezpieczone odbiorniki transmisji
- Przekierowanie intencji
- Kontrola dostępu do wyeksportowanych komponentów na podstawie uprawnień
- Oczekujące intencje
- Nadawca oczekujących intencji
- Komunikaty przyklejone
- Atak StrandHogg / podatność na atak w przypadku podobieństwa zadań
- Tapjacking
- Niebezpieczne korzystanie z precyzyjnych linków
- WebView – mosty natywne
- android:debuggable,
- android:exported
MASVS-CODE: jakość kodu
- Skryptowanie między aplikacjami
- Uprawnienia niestandardowe
- createPackageContext.
- Dynamiczne wczytywanie kodu
- Niewłaściwe zaufanie do nazwy pliku dostarczonej przez ContentProvider
- Niezabezpieczony interfejs API lub biblioteka
- Niezabezpieczona konfiguracja komunikacji maszyna-maszyna
- Sprawdzone metody zabezpieczania kopii zapasowych
- Bezpieczne przetwarzanie schowka
- wstrzykiwanie kodu SQL,
- Funkcje testowania/debugowania
- Potencjalnie niebezpieczna deserializacja
- Niebezpieczny interfejs HostnameVerifier
- Niebezpieczny interfejs X509TrustManager
- Korzystanie z kodu natywnego
- Wstrzykiwanie zewnętrznych elementów XML
- Webviews – niebezpieczne wczytywanie identyfikatorów URI