การทำให้แอปมีความปลอดภัยมากขึ้นจะช่วยรักษาความเชื่อมั่นของผู้ใช้และความสมบูรณ์ของอุปกรณ์
หน้านี้จะแสดงชุดปัญหาด้านความปลอดภัยที่พบบ่อยซึ่งนักพัฒนาแอป Android พบ คุณใช้เนื้อหานี้ได้ด้วยวิธีต่อไปนี้
- ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีรักษาความปลอดภัยให้แอปของคุณ
- ทําความเข้าใจวิธีจัดการในกรณีที่พบปัญหาเหล่านี้ในแอป
รายการต่อไปนี้มีลิงก์ไปยังหน้าเฉพาะสำหรับปัญหาแต่ละข้อ ซึ่งจัดเรียงเป็นหมวดหมู่ตามการควบคุมของ OWASP MASVS แต่ละหน้าจะมีสรุป ข้อความผลกระทบ และเคล็ดลับในการลดความเสี่ยงต่อแอป
MASVS-STORAGE: พื้นที่เก็บข้อมูล
- ไดเรกทอรีที่เปิดเผยต่อ FileProvider อย่างไม่เหมาะสม
- การเปิดเผยข้อมูลบันทึก
- Path traversal
- ข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในพื้นที่เก็บข้อมูลภายนอก
- WebView – การรวมไฟล์ที่ไม่ปลอดภัย
- Zip Path Traversal
MASVS-CRYPTO: วิทยาการเข้ารหัส
- อัลกอริทึมการเข้ารหัสที่ไม่ถูกต้องหรือมีความเสี่ยง
- ข้อมูลลับการเข้ารหัสลับแบบฮาร์ดโค้ด
- PRNG ที่ไม่รัดกุม
MASVS-NETWORK: การสื่อสารผ่านเครือข่าย
- การสื่อสารแบบข้อความที่โอนหรือจัดเก็บได้โดยไม่ต้องเข้ารหัส
- การตั้งค่า DNS ไม่ปลอดภัย
- เครื่องมือจัดการการดาวน์โหลดที่ไม่ปลอดภัย
MASVS-PLATFORM: การโต้ตอบกับแพลตฟอร์ม
- โปรแกรมแก้ไขเนื้อหา
- การลักลอบใช้ Intent แบบไม่เจาะจงปลายทาง
- การใช้งาน API ไม่ปลอดภัย
- Broadcast Receiver ที่ไม่ปลอดภัย
- การเปลี่ยนเส้นทาง Intent
- การควบคุมการเข้าถึงคอมโพเนนต์ที่ส่งออกตามสิทธิ์
- Intent ที่รอดำเนินการ
- ผู้ส่ง Intent ที่รอดำเนินการ
- การออกอากาศแบบติดหนึบ
- การโจมตี StrandHogg / ช่องโหว่ของ Task Affinity
- Tapjacking
- การใช้ Deep Link ที่ไม่ปลอดภัย
- WebView – บริดจ์แบบเนทีฟ
- android:debuggable
- android:exported
MASVS-CODE: คุณภาพของโค้ด
- การเขียนสคริปต์ข้ามแอป
- สิทธิ์ที่กำหนดเอง
- createPackageContext
- การโหลดโค้ดแบบไดนามิก
- การเชื่อถือชื่อไฟล์ที่ ContentProvider ระบุอย่างไม่เหมาะสม
- API หรือไลบรารีที่ไม่ปลอดภัย
- การตั้งค่าการสื่อสารแบบเครื่องต่อเครื่องที่ไม่ปลอดภัย
- แนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับการสำรองข้อมูล
- การจัดการคลิปบอร์ดอย่างปลอดภัย
- การแทรก SQL
- ทดสอบ/แก้ไขข้อบกพร่องฟีเจอร์
- การแปลงค่ากลับที่ไม่ปลอดภัย
- HostnameVerifier ที่ไม่ปลอดภัย
- X509TrustManager ไม่ปลอดภัย
- การใช้โค้ดเนทีฟ
- การแทรกเอนทิตีภายนอก XML
- WebView - การโหลด URI ที่ไม่ปลอดภัย