Wenn du deine App sicherer machst, trägst du dazu bei, das Vertrauen der Nutzer zu stärken und die Geräteintegrität zu wahren.
Auf dieser Seite werden einige häufige Sicherheitsprobleme beschrieben, mit denen Android-App-Entwickler konfrontiert sind. Sie können diese Inhalte auf folgende Weise verwenden:
- Weitere Informationen zum proaktiven Schutz Ihrer Apps
- Hier erfährst du, wie du reagierst, wenn eines dieser Probleme in deiner App erkannt wird.
Die folgende Liste enthält Links zu speziellen Seiten für jedes einzelne Problem, die nach den OWASP MASVS-Kontrollen in Kategorien sortiert sind. Jede Seite enthält eine Zusammenfassung, eine Erklärung zu den Auswirkungen und Tipps zur Risikominimierung für Ihre App.
MASVS-STORAGE: Speicher
- Unzulässig freigegebene Verzeichnisse für FileProvider
- Offenlegung von Informationen zu Protokollen
- Pfaddurchlauf
- Im externen Speicher gespeicherte sensible Daten
- Zip Path Traversal
MASVS-CRYPTO: Kryptografie
- Unzureichender oder riskanter kryptografischer Algorithmus
- Hartcodierte kryptografische Secrets
- Schwacher PRNG
MASVS-NETWORK: Netzwerkkommunikation
MASVS-PLATFORM: Plattforminteraktion
- Inhaltsauflöser
- Hijacking des impliziten Intents
- Unsichere API-Nutzung
- Unsichere Übertragungsempfänger
- Intent-Weiterleitung
- Berechtigungsbasierte Zugriffssteuerung auf exportierte Komponenten
- Ausstehende Intents
- Absender von ausstehenden Intents
- Fixierte Nachrichten an alle
- StrandHogg-Angriff / Task Affinity-Sicherheitslücke
- Tapjacking
- Unsichere Verwendung von Deeplinks
- WebView – native Brücken
- android:debuggable
- android:exported
MASVS-CODE: Codequalität
- Cross-App-Scripting
- Benutzerdefinierte Berechtigungen
- createPackageContext
- Dynamischer Code wird geladen
- Unzulässiges Vertrauen in vom ContentProvider bereitgestellten Dateinamen
- Unsichere API oder Bibliothek
- Unsichere Einrichtung der Kommunikation zwischen Maschinen
- Best Practices für die Sicherheit von Sicherungen
- Sichere Zwischenablageverwaltung
- SQL-Injection
- Funktionen testen und Fehler beheben
- Unsichere Deserialisierung
- Unsicherer HostnameVerifier
- Unsicherer X509TrustManager
- Nutzung von Native Code
- Injection von externen XML-Entitäten
- Webviews – Laden unsicheren URIs