Celah Keamanan Accessibility 13.5.02.1 Samsung Galaxy A02s
Seluler Aplikasi seluler meminta izin berikut yang dapat membahayakan privasi pengguna dalam keadaan tertentu:
KAMERA berbahaya
Mengizinkan aplikasi mengambil gambar dan video dengan kamera. Ini memungkinkan aplikasi untuk mengumpulkan gambar yang dilihat kamera kapan saja.
DAPATKAN_ACCOUNTS berbahaya
Mengizinkan akses ke daftar akun di Layanan Akun.
DAPATKAN_TASKS berbahaya
Mengizinkan aplikasi mengambil informasi tentang tugas yang sedang dan baru berjalan. Dapat mengizinkan aplikasi jahat menemukan informasi pribadi tentang aplikasi lain.
READ_EXTERNAL_STORAGE berbahaya
Mengizinkan aplikasi membaca dari penyimpanan eksternal.
READ_PHONE_STATE berbahaya
Mengizinkan aplikasi mengakses fitur telepon perangkat. Aplikasi dengan izin ini dapat menentukan nomor telepon dan nomor seri ponsel ini, apakah panggilan aktif, nomor yang terhubung dengan panggilan dan sebagainya.
SUARA REKAMAN berbahaya
Mengizinkan aplikasi mengakses jalur rekaman audio.
SET_PROCESS_LIMIT berbahaya
Mengizinkan aplikasi mengontrol jumlah maksimum proses yang akan dijalankan. Tidak pernah diperlukan untuk aplikasi umum.
SYSTEM_ALERT_WINDOW berbahaya
Mengizinkan aplikasi menampilkan jendela peringatan sistem. Aplikasi berbahaya dapat mengambil alih seluruh layar ponsel.
WRITE_EXTERNAL_STORAGE berbahaya
Mengizinkan aplikasi menulis ke penyimpanan eksternal.
WRITE_SETTINGS berbahaya
Mengizinkan aplikasi mengubah data setelan sistem. Aplikasi berbahaya dapat merusak konfigurasi sistem Anda.
Penyertaan masukan ke dalam kueri SQL mentah berpotensi menyebabkan kerentanan injeksi SQL lokal di aplikasi seluler, yang mengakibatkan kompromi informasi sensitif apa pun yang disimpan dalam file databse.
Pendekatan yang benar adalah menggunakan pernyataan SQL yang disiapkan di luar kendali pengguna.
Kunci enkripsi hardcode[sast][M5] [CWE-798] tinggi
Kunci enkripsi hardcode dapat membahayakan penyimpanan dan transmisi data yang aman dalam aplikasi seluler dengan memungkinkan penyerang untuk mendekripsi informasi yang berpotensi sensitif.
Media penyimpanan data eksternal[sast][M2] [CWE-921]
Aplikasi seluler dapat mengakses penyimpanan eksternal (misalnya kartu SD) dalam mode baca atau tulis. Data Aplikasi yang disimpan di penyimpanan data eksternal dapat diakses oleh aplikasi lain (termasuk yang berbahaya) dalam kondisi tertentu dan membawa risiko pencurian data, korupsi, atau perusakan.
Data hardcode[sast][M2] [CWE-200] rendah
Aplikasi seluler berisi debug atau data hardcode yang berpotensi sensitif. Penyerang dengan akses ke aplikasi seluler dapat dengan mudah mengekstrak data ini dari aplikasi dan menggunakannya dalam serangan lebih lanjut.
Perlindungan tapjacking hilang[sast][M1] [CWE-451] rendah
Secara default pada Android 6.0 dan yang lebih rendah, Android mengizinkan aplikasi untuk melapisi beberapa bagian layar ponsel dan mengizinkan kejadian sentuhan dikirim ke aktivitas yang mendasarinya. Ini dapat digunakan oleh penyerang untuk mengelabui pengguna aplikasi agar melakukan beberapa tindakan sensitif dalam aplikasi yang sah (mis. mengirim pembayaran) yang sebenarnya tidak ingin mereka lakukan.
Aktivitas yang Diekspor[sast][M1] [CWE-926] rendah
Aplikasi seluler berisi aktivitas yang diekspor yang dapat dipanggil oleh aplikasi lain yang berada di perangkat seluler, termasuk yang jahat, untuk memicu aktivitas aplikasi yang sah untuk melakukan tindakan yang berpotensi sensitif.
Penerima Siaran yang Diekspor[sast][M1] [CWE-925] rendah
Aplikasi seluler berisi penerima yang diekspor yang memungkinkan aplikasi lain, termasuk yang jahat, mengirim maksud tanpa batasan.
Secara default, Penerima Siaran diekspor di Android, sehingga aplikasi apa pun akan dapat mengirim maksud ke Penerima Siaran aplikasi.
Untuk menentukan aplikasi mana yang dapat mengirim maksud ke Penerima Siaran aplikasi seluler, tetapkan izin yang relevan dalam file Manifes Android.
Deserialisasi objek ditemukan[sast][M7] [CWE-502] peringatan
Deserialisasi objek yang dilakukan pada sumber daya yang tidak tepercaya (mis. input yang disediakan pengguna atau penyimpanan eksternal), dapat berbahaya jika data untuk deserialisasi dirusak oleh penyerang.
Injeksi fragmen[sast] peringatan
Aplikasi seluler berisi aktivitas yang diekspor yang memperluas kelas PreferenceActivity dan tidak menggunakan isValidFragment. Hal ini dapat menyebabkan aplikasi jahat pada perangkat yang sama menggunakan aktivitas rentan untuk menjangkau komponen yang mungkin tidak dapat diakses, dan melakukan tindakan tidak sah.
Pemuatan dinamis kode[sast][M7] [CWE-94] peringatan
Aplikasi seluler menggunakan beban dinamis dari kode yang dapat dieksekusi. Dalam keadaan tertentu, pemuatan kode yang dinamis bisa berbahaya. Misalnya, jika kode terletak di penyimpanan eksternal (misalnya kartu SD), ini dapat menyebabkan kerentanan injeksi kode jika penyimpanan eksternal dapat dibaca dan/atau dapat ditulis dan penyerang dapat mengaksesnya.
Anti-emulasi[sast] peringatan tidak ada
Aplikasi seluler tidak menggunakan teknik anti-emulasi atau anti-debugger apa pun (mis. mendeteksi perangkat yang di-rooting atau memeriksa apakah kontak itu asli).
Ini secara signifikan dapat memfasilitasi debugging aplikasi dan proses rekayasa balik.
Konfigurasi Keamanan Jaringan tidak ada peringatan [sast]
Aplikasi seluler tidak menggunakan Konfigurasi Keamanan Jaringan untuk menentukan sertifikat dan Otoritas Sertifikat (CA) mana yang dapat digunakan untuk lingkungan yang berbeda (mis. Pengembangan, Pengujian, dan Produksi). Konfigurasi Keamanan Jaringan pada fitur Android memungkinkan pengembang aplikasi menyesuaikan pengaturan keamanan jaringan mereka dalam file konfigurasi deklaratif yang aman tanpa mengubah kode aplikasi.
Peringatan penggunaan filter maksud[sast][M1] [CWE-927]
Aplikasi seluler menggunakan filter maksud.
Filter maksud tidak boleh digunakan untuk tujuan keamanan karena tidak membatasi maksud eksplisit yang dikirim ke komponen, dan dapat mengizinkan aplikasi lain di perangkat yang sama untuk berinteraksi langsung dengannya.
Filter maksud didefinisikan dalam file Manifes Android, mereka membiarkan pengembang memilih jenis maksud mana yang seharusnya diterima dan ditangani oleh komponen aplikasi mereka.
Aktivitas tidak memiliki tanda aman[sast] peringatan
Aktivitas tidak memiliki flag aman LayoutParams.FLAG_SECURE. Akibatnya, informasi sensitif apa pun di layar akan disimpan dalam tangkapan layar yang kemudian dapat dilihat oleh aplikasi jahat di perangkat yang sama, atau oleh penyerang dengan akses fisik.
0 comments:
Posting Komentar