MASTG-TEST-0295 更新されていない GMS セキュリティプロバイダ (GMS Security Provider Not Updated)
概要
このテストでは、Android アプリがセキュリティプロバイダ (セキュリティプロバイダ (Security Provider)) が SSL/TLS 脆弱性を緩和するために更新されている かどうかをチェックします。このプロバイダは Google Play Services API を使用して更新する必要があり、実装では例外を適切に処理する必要があります (例外処理 (Exception Handling) 参照)。
手順
アプリをリバースエンジニアします (Java コードの逆コンパイル (Decompiling Java Code))。
静的解析 (Android での静的解析 (Static Analysis on Android)) を使用して、
ProviderInstaller.installIfNeeded
やProviderInstaller.installIfNeededAsync
の使用箇所を探します。
結果
出力には、セキュリティプロバイダの更新が実行されるすべての場所と、例外が処理される方法 (installIfNeeded
の場合)、または ProviderInstallListener
がエラーを処理する方法 (installIfNeededAsync
の場合) をリストする可能性があります。
評価
アプリがプロバイダを更新しない場合、または例外を適切に処理しない場合、そのテストは不合格です。これらの呼び出しはネットワーク接続が確立される前に行っていることをチェックしてください。
PreviousMASTG-TEST-0286 ユーザー提供の CA を信頼する Network Security Configuration (Network Security Configuration Allowing Trust in User-Provided CAs)NextMASVS-PLATFORM: プラットフォーム連携
Last updated
Was this helpful?