Poprawiając bezpieczeństwo aplikacji, przyczyniasz się do zachowania zaufania użytkowników i integralności urządzenia.
Ta strona przedstawia typowe problemy z bezpieczeństwem, z którymi borykają się deweloperzy aplikacji na Androida. Możesz używać tych treści na te sposoby:
- Dowiedz się więcej o profilaktyce w zakresie bezpieczeństwa aplikacji.
- Dowiedz się, jak postępować, jeśli w Twojej aplikacji zostanie wykryty jeden z tych problemów.
Poniższa lista zawiera linki do stron poświęconych poszczególnym problemom, posortowanych według kategorii na podstawie kontroli OWASP MASVS. Każda strona zawiera podsumowanie, oświadczenie o wpływie i wskazówki dotyczące zmniejszenia ryzyka związanego z Twoją aplikacją.
MASVS-STORAGE: miejsce na dane
- Nieprawidłowo udostępnione katalogi do FileProvider
- Ujawnianie informacji z dziennika
- Omijanie ścieżki
- Dane wrażliwe przechowywane na zewnętrznym urządzeniu do przechowywania danych
- WebViews – niebezpieczne uwzględnianie plików
- Przemierzanie ścieżki ZIP
MASVS-CRYPTO: Kryptografia
- Nieprawidłowy lub ryzykowny algorytm kryptograficzny
- Wkodowane w kodzie tajne klucze kryptograficzne
- Słaby generator liczb pseudolosowych
MASVS-NETWORK: Komunikacja sieciowa
- Komunikacja w formie tekstu nieszyfrowanego
- Niebezpieczna konfiguracja DNS
- Niebezpieczny Menedżer pobierania
MASVS-PLATFORM: interakcja z platformą
- Rozwiązania dotyczące treści
- Przejęcie niejawnej intencji
- Niebezpieczne korzystanie z interfejsu API
- Niezabezpieczone odbiorniki transmisji
- Przekierowanie intencji
- Kontrola dostępu do wyeksportowanych komponentów na podstawie uprawnień
- Oczekujące intencje
- Nadawca oczekujących intencji
- Stały komunikat
- Atak StrandHogg / podatność na atak w przypadku podobieństwa zadań
- Tapjacking
- Niebezpieczne korzystanie z precyzyjnych linków
- WebView – połączenia natywne
- android:debuggable
- android:exported
MASVS-CODE: jakość kodu
- Skryptowanie między aplikacjami
- Uprawnienia niestandardowe
- createPackageContext
- Dynamiczne wczytywanie kodu
- Niewłaściwe zaufanie do nazwy pliku dostarczonej przez ContentProvider
- Niebezpieczny interfejs API lub biblioteka
- Niezabezpieczona konfiguracja komunikacji maszyna–maszyna
- Sprawdzone metody zabezpieczania kopii zapasowych
- Bezpieczne obchodzenie się ze schowkiem
- wstrzykiwanie kodu SQL,
- Funkcje testowania i debugowania
- Niebezpieczna deserializacja
- Niebezpieczny interfejs HostnameVerifier
- Niebezpieczny interfejs X509TrustManager
- Korzystanie z kodu natywnego
- Wstrzykiwanie zewnętrznych elementów XML
- Przeglądanie stron internetowych – wczytywanie niebezpiecznych identyfikatorów URI