search

MASTG-TEST-0217 コード内で明示的に許可された安全でない TLS プロトコル (Insecure TLS Protocols Explicitly Allowed in Code)

hashtag
概要

Android Network Security Configuration は特定の TLS バージョンを直接制御することはできません (iOSarrow-up-right とは異なります)。Android 10 以降では、すべての TLS 接続に対して TLS v1.3 がデフォルトで有効になっていますarrow-up-right

安全でないバージョンの TLS を有効にする方法は、以下のように、まだいくつかあります。

hashtag
Java ソケット

アプリは SSLContext.getInstance("TLSv1.1") を呼び出すことによって、安全でない TLS プロトコルを使用する SSLContext を取得できます。また、API コール javax.net.ssl.SSLSocket.setEnabledProtocols(String[] protocols) を使用して、潜在的に安全でない特定のプロトコルバージョンを有効にすることもできます。

hashtag
サードパーティライブラリ

OkHttparrow-up-right, Retrofitarrow-up-right, Apache HttpClient などの一部のサードパーティライブラリは TLS プロトコルのカスタム構成を提供しています。これらのライブラリは慎重に管理しないと古いプロトコルを有効にしてしまう可能性があります。

たとえば、OkHttp で (okhttp3.ConnectionSpec.Builder.connectionSpecs(...) 経由で) ConnectionSpec.COMPATIBLE_TLS を使用すると、バージョンによっては TLS 1.1 などの安全でない TLS バージョンがデフォルトで有効になってしまうことがあります。サポートされているプロトコルの詳細については OkHttp の configuration historyarrow-up-right を参照してください。

API コール okhttp3.ConnectionSpec.Builder.tlsVersions(...) を使用して、有効なプロトコルを設定することもできます (OkHttp ドキュメントarrow-up-right)。

hashtag
手順

  1. アプリをリバースエンジニアします (Java コードの逆コンパイル (Decompiling Java Code)arrow-up-right)。

  2. リバースエンジニアしたアプリに対して、TLS プロトコルを設定する API の呼び出しをターゲットとした静的解析 (Android での静的解析 (Static Analysis on Android)arrow-up-right) ツールを実行します。

hashtag
結果

出力には上記の API コールで有効になっているすべての TLS バージョンのリストを含む可能性があります。

hashtag
評価

安全でない TLS バージョン が直接有効になっているか、アプリが okhttp3.ConnectionSpec.COMPATIBLE_TLS などの古い TLS バージョンの使用を許可する設定を有効にしている場合、テストケースは不合格です。

PreviousMASVS-NETWORK: ネットワーク通信NextMASTG-TEST-0218 ネットワークトラフィックにおける安全でない TLS プロトコル (Insecure TLS Protocols in Network Traffic)

Last updated

Was this helpful?