Все уязвимости, обнаруживаемые во время сканирований, относятся к какому-либо из требований стандартов информационной безопасности, на соответствие которым проверяется приложение. С требованием соотносятся определенные типы дефектов, при нахождении которых в приложении требование будет считаться не выполненным. Работа с выявленными уязвимостями в системе проводится на странице Результаты сканирований на вкладке Дефекты.
На каждую выявленную уязвимость в системе заводится дефект. Различным дефектам система присваивает различные уровни критичности:
«» – Критичный
«» – Высокий
«» – Средний
«» – Низкий
«» – Инфо
Рекомендации для Android
— Возможность создания резервной копии приложения;
— Приложение не обфусцировано;
— Слабый пароль шифрования базы данных;
— Перехват пароля шифрования базы данных;
— Передача sensitive-информации в параметрах SQL-запроса;
— Приложение разрешает сетевые соединения по протоколу HTTP;
— Небезопасная конфигурация сетевого взаимодействия;
— Потенциальное выполнение произвольного кода в контексте приложения;
— Небезопасные настройки в AndroidManifest.xml;
— Небезопасный алгоритм подписи;
Небезопасное хранение ключевой информации.
— Доступное на запись хранилище ключей;
— Доступное на запись хранилище ключей со слабым паролем;
— Доступное на чтение файловое хранилище ключей;
— Доступное на чтение хранилище ключей со слабым паролем, содержащее закрытые ключи;
— Доступное на чтение хранилище ключей со слабым паролем, содержащее открытые ключи;
— Доступное на чтение хранилище ключей с приватными ключами, защищёнными слабым паролем;
— Использование файлового хранилища ключей;
— Хранилище ключей со слабым паролем, содержащее закрытые ключи;
— Хранилище ключей со слабым паролем, содержащее открытые ключи;
— Хранилище ключей с приватными ключами, защищёнными слабым паролем;
Передача sensitive-информации в Activity
— Небезопасная передача sensitive-информации в Activity;
— Небезопасная передача sensitive-информации во внешнюю Activity;
Передача sensitive-информации в Service
— Небезопасная передача sensitive-информации в Service;
— Небезопасная передача sensitive-информации во внешний Service;
Хранение sensitive-информации
— Хранение sensitive-информации в памяти;
— Хранение sensitive-информации в исходном коде приложения;
— Хранение или использование ранее найденной sensitive-информации;
Хранение sensitive-информации в файлах
— Хранение sensitive-информации в общедоступном файле вне директории приложения;
— Хранение sensitive-информации в общедоступном файле внутри директории приложения;
— Хранение sensitive-информации в приватном файле вне директории приложения;
— Хранение sensitive-информации в приватном файле внутри директории приложения;
Хранение sensitive-информации в базах данных
— Хранение чувствительной информации в общедоступной незащищённой базе данных;
— Хранение чувствительной информации в общедоступной защищённой базе данных;
— Хранение чувствительной информации в защищённой базе данных;
Рекоммендации для iOS
— Небезопасная конфигурация App Transport Security;
— Приложение не использует функции защиты от переполнений;
Подробную информацию по обнаруживаемым системой уязвимостям (описание, рекомендации с примерами, полезные ссылки) можно найти по следующей ссылке: https://stingray-mobile.ru/security-recommendations