android:debuggable

Catégorie OWASP : MASVS-PLATFORM : interaction avec la plate-forme

Présentation

L'attribut android:debuggable détermine si l'application peut être déboguée. Il est défini pour l'application dans son ensemble et ne peut pas être ignoré par des composants individuels. La valeur de l'attribut est false par défaut.

Autoriser le débogage de l'application n'est en soi pas une faille, mais cela expose l'application à un risque plus important (accès involontaire et non autorisé aux fonctions d'administration). Les pirates informatiques peuvent ainsi accéder plus facilement que prévu à l'application et aux ressources qu'elle utilise.

Impact

Définir l'indicateur android:debuggable sur "true" permet à un pirate informatique de déboguer l'application et d'accéder plus facilement aux parties de l'application qui devraient être sécurisées.

Stratégies d'atténuation

Veillez toujours à définir l'indicateur android:debuggable sur false lorsque vous envoyez votre application.

  • Remarque : Le texte du lien s'affiche lorsque JavaScript est désactivé
  • android:exported