MASTG-TEST-0295 更新されていない GMS セキュリティプロバイダ (GMS Security Provider Not Updated)

概要

このテストでは、Android アプリがセキュリティプロバイダ (セキュリティプロバイダ (Security Provider)) が SSL/TLS 脆弱性を緩和するために更新されている かどうかをチェックします。このプロバイダは Google Play Services API を使用して更新する必要があり、実装では例外を適切に処理する必要があります (例外処理 (Exception Handling) 参照)。

手順

1. アプリをリバースエンジニアします (Java コードの逆コンパイル (Decompiling Java Code))。

2. 静的解析 (Android での静的解析 (Static Analysis on Android)) を使用して、ProviderInstaller.installIfNeeded や ProviderInstaller.installIfNeededAsync の使用箇所を探します。

結果

出力には、セキュリティプロバイダの更新が実行されるすべての場所と、例外が処理される方法 (installIfNeeded の場合)、または ProviderInstallListener がエラーを処理する方法 (installIfNeededAsync の場合) をリストする可能性があります。

評価

アプリがプロバイダを更新しない場合、または例外を適切に処理しない場合、そのテストは不合格です。これらの呼び出しはネットワーク接続が確立される前に行っていることをチェックしてください。