search

MASTG-TEST-0258 UI 要素のキーボードキャッシュ属性への参照 (References to Keyboard Caching Attributes in UI Elements)

hashtag
概要

このテストは、アプリがテキスト入力フィールドを適切に設定して、パスワードや個人データなどの機密情報をキーボードがキャッシュしないことを検証します。

Android アプリはレイアウトファイル内の XML 属性を使用するか、コード内でプログラム的にテキスト入力フィールドの動作を設定できます。アプリが機密データに対して非キャッシュ入力タイプを使用しない場合、キーボードは機密情報をキャッシュする可能性があります。

hashtag
手順

  1. アプリをリバースエンジニアします (Java コードの逆コンパイル (Decompiling Java Code)arrow-up-right)。

  2. res/layout ディレクトリ内のレイアウトファイルに対して上記の XML 属性を検索します。

  3. setInputType メソッドコールとそれに渡される入力タイプ値を検索します (Android での静的解析 (Static Analysis on Android)arrow-up-right)。

  4. アプリが Jetpack Compose を使用している場合、リバースしたコードに対して KeyboardOptions コンストラクタarrow-up-right へのコールとそのパラメータを検索します (Android での静的解析 (Static Analysis on Android)arrow-up-right)。特に keyboardTypeautoCorrect です。

hashtag
結果

出力には以下を含む可能性があります。

  • UI に XML を使用している場合、すべての android:inputType XML 属性。

  • setInputType メソッドへのすべてのコールと、それに渡される入力タイプ値。

hashtag
評価

アプリが非キャッシュ入力タイプ (キーボードキャッシュ (Keyboard Cache)arrow-up-right の「非キャッシュ入力タイプ」セクションを参照) を使用していない機密データを処理するフィールドがある場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0253 WebView におけるローカルファイルアクセス API の実行時使用 (Runtime Use of Local File Access APIs in WebViews)NextMASTG-TEST-0289 アプリのバックグラウンド時のスクリーンショットでの機密コンテンツ露出の実行時検証 (Runtime Verification of Sensitive Content Exposure in Screenshots During App Backgrounding)

Last updated

Was this helpful?