MASTG-TEST-0267 イベントバウンド型生体認証の実行時使用 (Runtime Use Of Event-Bound Biometric Authentication)

概要

このテストはイベントバウンド型生体認証用の API への参照 (References to APIs for Event-Bound Biometric Authentication) と対をなす動的テストです。

手順

ランタイムメソッドフック (メソッドフック (Method Hooking) 参照) を使用し、 LAContext.evaluatePolicy(...) と SecAccessControlCreateWithFlags の使用をすべてのフラグを含めて探します。

結果

出力には LAContext.evaluatePolicy と SecAccessControlCreateWithFlags 関数が呼び出される場所 (使用されるすべてのフラグを含む) のリストを含む可能性があります。

評価

保護する価値のある機密データリソースごとに、以下が該当する場合、そのテストは不合格です。

LAContext.evaluatePolicy が明示的に使用されている。
可能なフラグのいずれかでユーザーの存在を要求する SecAccessControlCreateWithFlags の呼び出しがない。

PreviousMASTG-TEST-0266 イベントバウンド型生体認証用の API への参照 (References to APIs for Event-Bound Biometric Authentication)NextMASTG-TEST-0268 非生体認証へのフォールバックを許可する API への参照 (References to APIs Allowing Fallback to Non-Biometric Authentication)

Last updated 2 months ago