שיפור האבטחה של האפליקציה עוזר לשמור על אמון המשתמשים ועל המכשיר תקינות.
בדף הזה מוצגת קבוצה של בעיות אבטחה נפוצות שמפתחי אפליקציות ל-Android פרצוף. אפשר להשתמש בתוכן הזה בדרכים הבאות:
- מידע נוסף על אבטחת האפליקציות באופן יזום.
- להבין איך להגיב במקרה שאחת מהבעיות האלה מתגלה באפליקציה שלך.
הרשימה הבאה מכילה קישורים לדפים ייעודיים לכל בעיה בנפרד, ממוין לקטגוריות על סמך OWASP MASVS הפקדים בנגן. כל דף כולל סיכום, הצהרת השפעה וטיפים לגבי צמצום הסיכון לאפליקציה שלך.
MASVS-STORAGE: אחסון
- ספריות שחשופות באופן לא הולם ל-FileProvider
- הגילוי הנאות של פרטי היומן
- Path traversal
- מידע אישי רגיש שמאוחסנים באחסון חיצוני
- Path Traversal בקובץ ZIP
MASVS-CRYPTO: קריפטוגרפיה
- אלגוריתם קריפטוגרפי לא תקין או מסוכן
- סודות קריפטוגרפיים שנמצאים בתוך הקוד
- מקור גרסאות אקראיות חלש (PRNG)
MASVS-NETWORK: תקשורת ברשת
MASVS-PLATFORM: Platform Interaction
- מקודדי תוכן
- פריצה מרומזת של Intent
- שימוש לא מאובטח ב-API
- מקלטי שידורים לא מאובטחים
- הפניה אוטומטית של Intent
- בקרת גישה מבוססת-הרשאות לרכיבים שמיוצאים
- אובייקטים מסוג Intent בהמתנה
- שולח של מנגנוני Intent בהמתנה
- שידורים במיקום קבוע
- התקפת StrandHogg / נקודת חולשה של Task Affinity
- Tapjacking
- android:debuggable
- android:exported
קוד MASVS: איכות קוד
- הרשאות בהתאמה אישית
- createPackageContext
- הקוד הדינמי בטעינה
- מתן אמון באופן שגוי בשם קובץ שסופק על ידי ContentProvider
- ספרייה או API לא מאובטחים
- הגדרת תקשורת לא מאובטחת ממחשב למכונה
- טיפול מאובטח בלוח
- הזרקת SQL
- תכונות בדיקה/ניפוי באגים
- פעולת deserialization לא בטוחה
- HostnameVerifier לא בטוח
- X509TrustManager לא בטוח
- שימוש בקוד נייטיב
- החדרת ישויות חיצוניות בפורמט XML
- תצוגות אינטרנט – טעינת URI לא בטוח