MASTG-TEST-0297 ログへの機密データの挿入 (Insertion of Sensitive Data into Logs)

概要

iOS プラットフォームでは、NSLog, NSAssert, NSCAssert, print, printf などのログ記録 API が意図せず機密情報の漏洩につながる可能性があります。ログメッセージはコンソールに記録され、システムログの監視 (Monitoring System Logs) を使用してアクセスできます。デバイス上の他のアプリはこれらのログを読み取ることはできませんが、データ漏洩の可能性があるため、直接ログ記録することは一般的に推奨されません。

このテストでは、静的解析を使用して、アプリに機密データを取得するログ記録 API があるかどうかを検証します。

手順

radare2 for iOS などの静的解析ツールをアプリバイナリに対して実行して、ログ記録 API の使用を探します。

結果

出力にはすべてのログ記録関数の位置を含む可能性があります。逆コンパイルされたコードをチェックして、機密データを入力として受け取るかどうかを検証します。

評価

機密データをログ記録するログ記録 API の使用を見つけた場合、そのテストケースは不合格です。

PreviousMASTG-TEST-0296 安全でないログ記録による機密データ露出 (Sensitive Data Exposure Through Insecure Logging)NextMASTG-TEST-0298 バックアップ対象のファイルの実行時監視 (Runtime Monitoring of Files Eligible for Backup)

Last updated 25 days ago

Was this helpful?