OWASP-Kategorie:MASVS-PLATFORM: Platform Interaction
Übersicht
Mit dem android:debuggable-Attribut wird festgelegt, ob die Anwendung debugfähig ist. Sie wird für die gesamte Anwendung festgelegt und kann nicht von einzelnen Komponenten überschrieben werden. Das Attribut ist standardmäßig auf false festgelegt.
Wenn die Anwendung selbst debuggbar ist, ist das keine Sicherheitslücke, aber es setzt die Anwendung einem größeren Risiko durch unbeabsichtigten und nicht autorisierten Zugriff auf administrative Funktionen aus. Dadurch können Angreifer mehr Zugriff auf die Anwendung und die von der Anwendung verwendeten Ressourcen erhalten als beabsichtigt.
Positiv beeinflussen
Wenn das Flag „android:debuggable“ auf „true“ gesetzt ist, kann ein Angreifer die Anwendung debuggen und so leichter auf Teile der Anwendung zugreifen, die sicher sein sollten.
Maßnahmen zur Risikominderung
Achten Sie immer darauf, das Flag android:debuggable auf false zu setzen, wenn Sie Ihre Anwendung ausliefern.