Categoria OWASP: MASVS-PLATFORM: Platform Interaction
Panoramica
L'attributo android:debuggable indica se l'applicazione è
sottoposta a debug. È impostato per l'applicazione nel suo complesso e non può essere sostituito da
singoli componenti. Per impostazione predefinita, l'attributo è impostato su false.
Consentire il debug dell'applicazione in sé non è una vulnerabilità, ma espone l'applicazione a un rischio maggiore tramite l'accesso non intenzionale e non autorizzato alle funzioni amministrative. Ciò può consentire agli autori degli attacchi di accedere all'applicazione e alle risorse utilizzate dall'applicazione più di quanto previsto.
Impatto
Se imposti il flag android:debuggable su true, un malintenzionato può eseguire il debug dell'applicazione, il che gli consente di accedere più facilmente a parti dell'applicazione che devono essere protette.
Mitigazioni
Assicurati sempre di impostare il flag android:debuggable su false quando spedisci
la tua applicazione.