MASTG-TEST-0203 ログ記録 API の実行時使用 (Runtime Use of Logging APIs)

概要

Android プラットフォームでは、Log, Logger, System.out.print, System.err.print, java.lang.Throwable#printStackTrace などのログ記録 API によって意図せず機密情報の漏洩につながる可能性があります。ログメッセージは共有メモリバッファである logcat に記録され、Android 4.1 (API レベル 16) 以降では READ_LOGS パーミッションを宣言する特権システムアプリケーションのみがアクセスできます。とはいえ、Android システムの広大なエコシステムには READ_LOGS 権限を持つプリロードされたアプリが含まれており、機密データ開示のリスクが高まっています。したがって、logcat への直接的なログ記録はデータ漏洩の危険性があるため一般的に推奨されません。

手順

アプリをインストールして実行します。
ログ出力を解析したいモバイルアプリの画面に移動します。
実行中のアプリにアタッチし、ログ記録 API をターゲットにしてメソッドトレース (メソッドトレース (Method Tracing)) (Frida for Android などを使用) を実行し、出力を保存します。

結果

出力には現在実行しているアプリでログ記録 API が使用されている場所のリストを含む可能性があります。

評価

これらの API を使用してログ記録されている機密データを見つけることができた場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0202 外部ストレージにアクセスするための API とパーミッションへの参照 (References to APIs and Permissions for Accessing External Storage)NextMASTG-TEST-0207 アプリのサンドボックスでの暗号化していないデータの実行時保存 (Runtime Storage of Unencrypted Data in the App Sandbox)

Last updated 2 months ago

hashtag概要

hashtag手順

hashtag結果

hashtag評価

概要

手順

結果

評価