Ao deixar seu app mais seguro, você ajuda a preservar a confiança do usuário e a integridade do dispositivo.
Esta página apresenta um conjunto de problemas de segurança comuns que os desenvolvedores de apps Android enfrentam. Você pode usar esse conteúdo para:
- Saber mais sobre como proteger seus apps de maneira proativa.
- Entender como reagir se um desses problemas for descoberto no seu app.
A lista a seguir contém links para páginas dedicadas a cada problema individual, classificados em categorias com base no OWASP MASVS controles de segurança. Cada página inclui um resumo, uma declaração de impacto e dicas para reduzir o risco do seu app.
MASVS-STORAGE: armazenamento
Descrição da categoria do OWASP (link em inglês)
- Diretórios expostos incorretamente ao FileProvider
- Divulgação de informações de registro
- Travessia de caminhos
- Dados confidenciais armazenados no armazenamento externo
- Travessia de caminhos de arquivo ZIP
MASVS-CRYPTO: criptografia
Descrição da categoria do OWASP (link em inglês)
MASVS-NETWORK: comunicação de rede
Descrição da categoria do OWASP (link em inglês)
- Comunicações de texto não criptografado
- Configuração de DNS não seguro
- Gerenciador de downloads não seguros
MASVS-PLATFORM: interação com plataformas
Descrição da categoria do OWASP (link em inglês)
- Resolvedores de conteúdo
- Invasão de intent implícita
- Uso não seguro de API
- Broadcast receivers não seguros
- Redirecionamento de intents
- Controle de acesso baseado em permissões para componentes exportados
- Intents pendentes
- Remetente de intents pendentes
- Transmissões fixas
- Vulnerabilidade de ataque StrandHogg / afinidade de tarefas
- Tapjacking
- android:debuggable
- android:exported
MASVS-CODE: qualidade do código
Descrição da categoria do OWASP (link em inglês)
- Permissões personalizadas
- createPackageContext (link em inglês)
- Carregamento de código dinâmico
- Excesso de confiança no nome de arquivo fornecido pelo ContentProvider
- API ou biblioteca não segura
- Configuração de comunicação entre máquinas não segura
- Processamento seguro da área de transferência
- Injeção de SQL
- Recursos de teste/depuração
- Desserialização não segura
- HostnameVerifier não seguro
- X509TrustManager não seguro
- Uso de código nativo
- Injeção de entidades externas XML
- Webviews: carregamento de URI não seguro