MASTG-TEST-0205 ランダムでないソースの使用 (Non-random Sources Usage)

概要

Android アプリケーションはランダムでないソースを使用して「ランダム」な値を生成することがあり、潜在的なセキュリティ上の脆弱性につながります。よくあるものとしては、Date().getTime() のように現在の時刻に依存したり、Calendar.MILLISECOND にアクセスして推測や再現が容易な値を生成するものがあります。

手順

アプリに対して静的解析 (Android での静的解析 (Static Analysis on Android)) ツールを実行して、ランダムでないソースの使用を探します。

結果

出力にはランダムでないソースが使用されている場所のリストを含む可能性があります。

評価

ランダムでないソースを使用して生成されたパスワードやトークンなどのセキュリティ関連の値を見つけることができた場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0204 安全でないランダム API の使用 (Insecure Random API Usage)NextMASTG-TEST-0208 不十分な鍵サイズ (Insufficient Key Sizes)

Last updated 1 day ago

Was this helpful?