MASTG-TEST-0285 ユーザー提供の CA を信頼する古い Android バージョン (Outdated Android Version Allowing Trust in User-Provided CAs)

概要

このテストはユーザーが追加した CA 証明書をAndroid アプリがデフォルトで 暗黙的に 信頼するかどうかを評価します。これは API レベル 23 以下を実行しているデバイスにインストールできるアプリの場合に当てはまります。

これらのアプリはシステムとユーザーがインストールした認証局 (CA) の両方を信頼するデフォルトの Network Security Configuration に依存しています。このような信頼はアプリを MITM 攻撃にさらし、ユーザーがインストールした悪意のある CA が安全な通信を傍受する可能性があります。

手順

AndroidManifest.xml を取得します (AndroidManifest から情報の取得 (Obtaining Information from the AndroidManifest))。
<uses-sdk> 要素から minSdkVersion 属性の値を読み取ります。

結果

出力には minSdkVersion の値を含みます。

評価

minSdkVersion が 24 未満の場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0284 WebView での正しくない SSL エラー処理 (Incorrect SSL Error Handling in WebViews)NextMASTG-TEST-0286 ユーザー提供の CA を信頼する Network Security Configuration (Network Security Configuration Allowing Trust in User-Provided CAs)

Last updated 1 month ago

hashtag概要

hashtag手順

hashtag結果

hashtag評価

概要

手順

結果

評価