Platform Interaction
Einleitung
Übersicht
Die Sicherheit mobiler Apps hängt stark von ihrer Interaktion mit der mobilen Plattform ab.
- IPC-Mechanismen: Plattformbereitgestellte Inter-Process-Communication kann von Angreifern oder anderen installierten Apps ausgenutzt werden
- WebViews: Sichere Konfiguration erforderlich, um Datenlecks und unbeabsichtigte Funktionsexposition zu verhindern
- Sensible Daten in der UI: Daten in Benachrichtigungen müssen geschützt werden
- Plattform-Datenlecks: Schutz vor unbeabsichtigter Offenlegung durch Screenshots, Shoulder Surfing oder Gerätenutzung durch Dritte
Verification Controls
MASVS-PLATFORM-1
The app uses IPC mechanisms securely.
MASVS-PLATFORM-2
The app uses WebViews securely.
MASVS-PLATFORM-3
The app uses the user interface securely.
Weakness Enumeration
MASVS-PLATFORM-1
L1, P
- MASWE-0058: Insecure Deep Links
- MASWE-0059: Use Of Unauthenticated Platform IPC
- MASWE-0060: Insecure Use of UIActivity
- MASWE-0061: Insecure Use of App Extensions
- MASWE-0062: Insecure Services
- MASWE-0063: Insecure Broadcast Receivers
- MASWE-0064: Insecure Content Providers
- MASWE-0065: Sensitive Data Permanently Shared with Other Apps
L1, P (cont.)
- MASWE-0066: Insecure Intents
MASVS-PLATFORM-2
L1, P
- MASWE-0068: JavaScript Bridges in WebViews
- MASWE-0069: WebViews Allows Access to Local Resources
- MASWE-0070: JavaScript Loaded from Untrusted Sources
- MASWE-0071: WebViews Loading Content from Untrusted Sources
- MASWE-0072: Universal XSS
L2
- MASWE-0073: Insecure WebResourceResponse Implementations
- MASWE-0074: Web Content Debugging Enabled
MASVS-PLATFORM-3
L1, P
- MASWE-0057: StrandHogg Attack / Task Affinity Vulnerability
L2
- MASWE-0053: Sensitive Data Leaked via the User Interface
- MASWE-0054: Sensitive Data Leaked via Notifications
- MASWE-0055: Sensitive Data Leaked via Screenshots or Screen Recordings
- MASWE-0056: Tapjacking Attacks
Testing Guide
MASVS-PLATFORM-1
MASVS-PLATFORM-2
MASVS-PLATFORM-3
Beispiel MASTG-TEST-0289 / MASTG-TEST-0290
Statischer Test
Tests MASTG-TEST-0289 und MASTG-TEST-0290 prüfen, ob Weakness MASWE-0055 zu Control MASVS-PLATFORM-3 vorhanden ist.
Weakness und Control
MASWE-0055
Sensitive Data Leaked via Screenshots or Screen Recordings.
MASVS-PLATFORM-3
The app uses the user interface securely.
MASTG-TEST-0289
- Gehe von einem Screen mit sensiblen Daten in den Hintergrund
- Lade die Systemscreenshots vom Gerät
oder
Ergebnis
Beispiel secure_application
secure_application
secure_applicationschützt vor ungewollten Einsichten- Beispielapp vorhanden in GitHub
Secure
Die Funktion secure des SecureApplicationController verhindert beispielsweise Screenshots.
