Ao deixar seu app mais seguro, você ajuda a preservar a confiança do usuário e a integridade do dispositivo.
Esta página apresenta um conjunto de problemas de segurança comuns que os desenvolvedores de apps Android enfrentam. Você pode usar esse conteúdo para:
- Saber mais sobre como proteger seus apps de maneira proativa.
- Entender como reagir se um desses problemas for descoberto no seu app.
A lista a seguir contém links para páginas dedicadas a cada problema individual, classificadas em categorias com base nos controles OWASP MASVS. Cada página inclui um resumo, uma declaração de impacto e dicas para reduzir o risco do seu app.
MASVS-STORAGE: armazenamento
Descrição da categoria do OWASP (link em inglês)
- Diretórios expostos incorretamente ao FileProvider
- Divulgação de informações de registro
- Travessia de caminhos
- Dados sensíveis armazenados no armazenamento externo
- Travessia de caminhos de arquivo ZIP
MASVS-CRYPTO: criptografia
Descrição da categoria do OWASP (link em inglês)
MASVS-NETWORK: comunicação de rede
Descrição da categoria do OWASP (link em inglês)
- Comunicações de texto não criptografado
- Configuração de DNS não segura
- Gerenciador de downloads não seguro
MASVS-PLATFORM: interação com plataformas
Descrição da categoria do OWASP (link em inglês)
- Resolvedores de conteúdo
- Invasão de intent implícita
- Uso de API não seguro
- Broadcast receivers não seguros
- Redirecionamento de intents
- Controle de acesso baseado em permissões para componentes exportados
- Intents pendentes
- Responsável por intents pendentes
- Transmissões fixas
- Vulnerabilidade de ataque StrandHogg / afinidade de tarefas
- Tapjacking
- Uso não seguro de links diretos
- WebView: pontes nativas
- android:debuggable
- android:exported
MASVS-CODE: qualidade do código
Descrição da categoria do OWASP (link em inglês)
- Cross-App Scripting
- Permissões personalizadas
- createPackageContext
- Carregamento dinâmico de código
- Excesso de confiança no nome de arquivo fornecido pelo ContentProvider
- API ou biblioteca não segura
- Configuração insegura de comunicação entre máquinas
- Práticas recomendadas de segurança para backups
- Manuseio da área de transferência segura
- Injeção de SQL
- Recursos de teste/depuração
- Desserialização não segura
- HostnameVerifier não seguro
- X509TrustManager não seguro
- Uso de código nativo
- Injeção de entidades externas do XML
- Webviews: carregamento de URI não seguro