android:debuggable

Categoría de OWASP: MASVS-PLATFORM: Interacción con la plataforma

Descripción general

El atributo android:debuggable establece si la app es depurable. Se configura para toda la aplicación y no se puede anular a través de componentes individuales. De forma predeterminada, el atributo se configura en false.

Permitir que la aplicación sea depurable en sí misma no es una vulnerabilidad, pero la expone a mayor riesgo mediante por acceso no deseado y no autorizado a funciones administrativas. Esto puede permitir que los atacantes tengan más acceso que el previsto a la aplicación y los recursos que esta usa.

Impacto

Si estableces la marca android:debuggable como verdadera, un atacante podrá depurar la aplicación y, de esa forma, acceder con mayor facilidad a partes de la aplicación que deberían mantenerse protegidas.

Mitigaciones

Asegúrate de configurar el parámetro android:debuggable en false cuando envíes tu aplicación.

  • Nota: El texto del vínculo se muestra cuando JavaScript está desactivado
  • android:exported