MASTG-TEST-0258 UI 要素のキーボードキャッシュ属性への参照 (References to Keyboard Caching Attributes in UI Elements)

概要

このテストは、アプリがテキスト入力フィールドを適切に設定して、パスワードや個人データなどの機密情報をキーボードがキャッシュしないことを検証します。

Android アプリはレイアウトファイル内の XML 属性を使用するか、コード内でプログラム的にテキスト入力フィールドの動作を設定できます。アプリが機密データに対して非キャッシュ入力タイプを使用しない場合、キーボードは機密情報をキャッシュする可能性があります。

手順

  1. アプリをリバースエンジニアします (Java コードの逆コンパイル (Decompiling Java Code))。

  2. res/layout ディレクトリ内のレイアウトファイルに対して上記の XML 属性を検索します。

  3. setInputType メソッドコールとそれに渡される入力タイプ値を検索します (Android での静的解析 (Static Analysis on Android))。

  4. アプリが Jetpack Compose を使用している場合、リバースしたコードに対して KeyboardOptions コンストラクタ へのコールとそのパラメータを検索します (Android での静的解析 (Static Analysis on Android))。特に keyboardTypeautoCorrect です。

結果

出力には以下を含む可能性があります。

  • UI に XML を使用している場合、すべての android:inputType XML 属性。

  • setInputType メソッドへのすべてのコールと、それに渡される入力タイプ値。

評価

アプリが非キャッシュ入力タイプ (キーボードキャッシュ (Keyboard Cache) の「非キャッシュ入力タイプ」セクションを参照) を使用していない機密データを処理するフィールドがある場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0253 WebView におけるローカルファイルアクセス API の実行時使用 (Runtime Use of Local File Access APIs in WebViews)NextMASTG-TEST-0289 アプリのバックグラウンド時のスクリーンショットでの機密コンテンツ露出の実行時検証 (Runtime Verification of Sensitive Content Exposure in Screenshots During App Backgrounding)

Last updated

Was this helpful?