MASTG-TEST-0224 安全でない署名バージョンの使用 (Usage of Insecure Signature Version)

概要

新しい APK 署名スキームを使用しないということは、アプリにはより堅牢で更新されたメカニズムによって提供される強化されたセキュリティが欠如していることを意味します。

このテストでは、古い v1 署名スキームが有効になっているかどうかをチェックします。v1 スキームは、APK ファイルのすべての部分をカバーしていないため、"Janus" 脆弱性 (CVE-2017-13156) などの特定の攻撃に対して脆弱であり、悪意のあるアクターが 署名を無効にすることなく APK の一部を変更 できる可能性があります。したがって、v1 署名のみに依存すると、改竄のリスクが高まり、アプリのセキュリティが損なわれます。

APK 署名スキームの詳細については、"署名プロセス" を参照してください。

手順

1. AndroidManifest から情報の取得 (Obtaining Information from the AndroidManifest) などで AndroidManifest.xml から minSdkVersion 属性を取得します。

2. APK 署名に関する情報の取得 (Obtaining Information about the APK Signature) に示されているように、使用されているすべての署名スキームをリストします。

結果

出力には minSdkVersion 属性の値と、使用されている署名スキーム (たとえば Verified using v3 scheme (APK Signature Scheme v3): true) を含む可能性があります。

評価

アプリの minSdkVersion 属性が 24 以上で、v1 署名スキームのみが有効になっている場合、そのテストケースは不合格です。