android:debuggable

Danh mục OWASP: MASVS-PLATFORM: Tương tác với nền tảng

Tổng quan

Thuộc tính android:debuggable xác định ứng dụng có thể gỡ lỗi hay không. Thuộc tính này được đặt cho toàn bộ ứng dụng và không ghi đè được bằng các thành phần riêng lẻ. Theo mặc định, thuộc tính này được đặt thành false.

Việc cho phép ứng dụng có thể gỡ lỗi trong chính ứng dụng đó không phải là lỗ hổng bảo mật, nhưng điều này khiến ứng dụng gặp nhiều rủi ro hơn từ việc truy cập ngoài ý muốn và trái phép vào các chức năng quản trị. Điều này có thể khiến những kẻ tấn công có nhiều quyền truy cập hơn dự định vào ứng dụng và các tài nguyên mà ứng dụng dùng.

Tác động

Việc đặt cờ android:debuggable thành true sẽ cho phép kẻ tấn công gỡ lỗi ứng dụng, giúp chúng dễ dàng truy cập vào các phần của ứng dụng cần được bảo mật.

Giải pháp giảm thiểu

Luôn đảm bảo đặt cờ android:debuggable thành false khi gửi ứng dụng của bạn.

  • Lưu ý: văn bản có đường liên kết sẽ hiện khi JavaScript tắt
  • android:exported