MASTG-TEST-0329 明示的なユーザーアクションなしでの認証を強制する API への参照 (References to APIs Enforcing Authentication without Explicit User Action)

概要

このテストでは、アプリが生体認証 (生体認証 (Biometric Authentication)) を 明示的なユーザーアクションを必要とせずに 強制しているかどうかをチェックします。android.hardware.biometrics.BiometricPrompt API (または API レベル 23 との後方互換性を持つ Jetpack 版の androidx.biometric.BiometricPrompt) を使用する場合、BiometricPrompt.Builder の setConfirmationRequired() メソッドはユーザーが認証を明示的に確認する必要があるかどうかを制御します。これはデフォルトで強制されます。

手順

1. 静的解析 (Android での静的解析 (Static Analysis on Android)) ツールを実行して、関連する API のインスタンスを識別します。

結果

出力には関連する API が使用されている場所のリストを含む可能性があります。

評価

明示的なユーザー認証を必要とする機密操作に対してアプリが setConfirmationRequired() に false を設定している場合、このテストは不合格です。

アプリが以下のいずれかである場合、このテストは合格です。

• 機密操作に対して明示的に setConfirmationRequired() に true を設定している、または

• デフォルト動作に依存し、確認を必要としている。

[!NOTE] setConfirmationRequired(false) の使用は本質的に脆弱性ではありません。低リスク操作には適しているかもしれませんが、支払いやデータアクセスなどの機密操作では、アプリは setConfirmationRequired(true) を使用するか、デフォルト動作に依存して ユーザーが認証を明示的に確認することを確保する 必要があります。