OWASP कैटगरी: MASVS-PLATFORM: Platform Interaction
खास जानकारी
android:debuggable एट्रिब्यूट से यह तय होता है कि ऐप्लिकेशन को डीबग किया जा सकता है या नहीं. इसे पूरे ऐप्लिकेशन के लिए सेट किया जाता है. साथ ही, इसे अलग-अलग कॉम्पोनेंट के लिए बदला नहीं जा सकता. यह एट्रिब्यूट, डिफ़ॉल्ट रूप से false पर सेट होता है.
ऐप्लिकेशन को डीबग करने की अनुमति देना, अपने-आप में कोई जोखिम नहीं है. हालांकि, इससे ऐप्लिकेशन को ज़्यादा जोखिम हो सकता है. ऐसा इसलिए, क्योंकि एडमिन के फ़ंक्शन को अनजाने में और बिना अनुमति के ऐक्सेस किया जा सकता है. इससे हमलावरों को ऐप्लिकेशन और ऐप्लिकेशन के इस्तेमाल किए गए संसाधनों का ज़्यादा ऐक्सेस मिल सकता है.
असर
android:debuggable फ़्लैग को सही के तौर पर सेट करने से, हमलावर ऐप्लिकेशन को डीबग कर सकता है. इससे उसे ऐप्लिकेशन के उन हिस्सों को आसानी से ऐक्सेस करने में मदद मिलती है जिन्हें सुरक्षित रखा जाना चाहिए.
जोखिम कम करने के तरीके
अपने ऐप्लिकेशन को शिप करते समय, हमेशा android:debuggable फ़्लैग को false पर सेट करना न भूलें.