search

MASTG-TEST-0203 ログ記録 API の実行時使用 (Runtime Use of Logging APIs)

hashtag
概要

Android プラットフォームでは、Log, Logger, System.out.print, System.err.print, java.lang.Throwable#printStackTrace などの ログ記録 APIarrow-up-right によって意図せず機密情報の漏洩につながる可能性があります。ログメッセージは共有メモリバッファである logcat に記録され、Android 4.1 (API レベル 16) 以降では READ_LOGS パーミッションを宣言する特権システムアプリケーションのみがアクセスできます。とはいえ、Android システムの広大なエコシステムには READ_LOGS 権限を持つプリロードされたアプリが含まれており、機密データ開示のリスクが高まっています。したがって、logcat への直接的なログ記録はデータ漏洩の危険性があるため一般的に推奨されません。

hashtag
手順

  1. アプリをインストールして実行します。

  2. ログ出力を解析したいモバイルアプリの画面に移動します。

  3. 実行中のアプリにアタッチし、ログ記録 API をターゲットにしてメソッドトレース (メソッドトレース (Method Tracing)arrow-up-right) (Frida for Android などを使用) を実行し、出力を保存します。

hashtag
結果

出力には現在実行しているアプリでログ記録 API が使用されている場所のリストを含む可能性があります。

hashtag
評価

これらの API を使用してログ記録されている機密データを見つけることができた場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0202 外部ストレージにアクセスするための API とパーミッションへの参照 (References to APIs and Permissions for Accessing External Storage)NextMASTG-TEST-0207 アプリのサンドボックスでの暗号化していないデータの実行時保存 (Runtime Storage of Unencrypted Data in the App Sandbox)

Last updated

Was this helpful?