כשמשפרים את האבטחה של האפליקציה, עוזרים לשמור על אמון המשתמשים ועל תקינות המכשיר.
בדף הזה מוצגת קבוצה של בעיות אבטחה נפוצות שמפתחי אפליקציות ל-Android נתקלים בהן. אפשר להשתמש בתוכן הזה בדרכים הבאות:
- מידע נוסף על אבטחה יזומה של אפליקציות
- מה עושים אם אחת מהבעיות האלה מתגלה באפליקציה?
ברשימה הבאה מופיעים קישורים לדפים ייעודיים לכל בעיה, שממוינים לפי קטגוריות על סמך אמצעי הבקרה של OWASP MASVS. כל דף כולל סיכום, הצהרת השפעה וטיפים לצמצום הסיכון לאפליקציה.
MASVS-STORAGE: אחסון
- חשיפת ספריות ל-FileProvider באופן שגוי
- חשיפת פרטי יומנים
- Path traversal
- מידע רגיש שמאוחסן באחסון חיצוני
- WebViews – Unsafe File Inclusion
- התקפת Path Traversal בקובץ ZIP
MASVS-CRYPTO: קריפטוגרפיה
- אלגוריתם קריפטוגרפי שסופק עם שגיאות או מסוכן
- סודות קריפטוגרפיים שמוגדרים בקוד
- מקור גרסאות אקראיות חלש (PRNG)
MASVS-NETWORK: תקשורת רשת
MASVS-PLATFORM: Platform Interaction
- פותרי תוכן
- השתלטות על Implicit Intent
- שימוש לא מאובטח ב-API
- מקבלי שידורים לא מאובטחים
- הפניה אוטומטית של כוונה
- בקרת גישה מבוססת-הרשאות לרכיבים המיוצאים
- כוונות בהמתנה
- שולח של כוונות בהמתנה
- שידורים מוצמדים
- התקפת StrandHogg / נקודת חולשה של Task Affinity
- Tapjacking
- שימוש לא בטוח בקישורי עומק
- WebView – גשרים מקומיים
- android:debuggable
- android:exported
MASVS-CODE: איכות הקוד
- החדרת סקריפטים זדוניים לאפליקציות
- הרשאות בהתאמה אישית
- createPackageContext
- טעינה של קוד דינמי
- אי-אמון לא תקין בשם הקובץ שסופק על ידי ContentProvider
- API או ספרייה לא מאובטחים
- הגדרה לא מאובטחת של תקשורת בין מכונות
- שיטות מומלצות לאבטחה של גיבויים
- טיפול מאובטח בלוח
- הזרקת SQL
- תכונות בדיקה/ניפוי באגים
- פירוק לא בטוח של אובייקטים
- HostnameVerifier לא מאובטח
- X509TrustManager לא מאובטח
- שימוש בקוד מקורי
- הזרקה של ישויות חיצוניות ב-XML
- תצוגות אינטרנט – טעינת URI לא בטוח