MASTG-TEST-0300 プライベートストレージに暗号化されていないデータを保存するための API への参照 (References to APIs for Storing Unencrypted Data in Private Storage)
概要
このテストは、アプリが暗号化されていない機密データをプライベートストレージに書き込むかどうかをチェックします。以下に焦点を当てています。
アプリサンドボックスディレクトリにデータを保持する API。Foundation
FileManagerメソッド、低レベルの POSIX および BSD ファイル I/O 呼び出し、UserDefaults、Core Data、SQLite ラッパーなどの高レベル API を含みます。以下に使用されているキーチェーン API:
機密データをキーチェーン内に直接保存している。
キーチェーンの鍵を管理している (プライベートストレージに書き込む前にデータを暗号化するために使用できます)。
手順
radare2 for iOS などの静的解析ツールを実行し、ファイルを作成または書き込むファイルシステム API の使用を探します。
radare2 for iOS などの静的解析ツールを実行し、キーチェーン API の使用を探します。
結果
出力には以下を含む可能性があります。
アプリがプライベートストレージにデータを書き込む場所、または書き込む可能性がある場所のリスト。
アプリがキーチェーン API を使用する場所のリスト。アクセス制御とアクセシビリティ属性を含みます。
評価
機密データがプライベートストレージに書き込まれる前に暗号化されていない場合、または機密データを保存するためにキーチェーン API が使用されていない場合、そのテストケースは不合格です。
PreviousMASTG-TEST-0299 プライベートストレージでのファイルのデータ保護クラス (Data Protection Classes for Files in Private Storage)NextMASTG-TEST-0301 プライベートストレージに暗号化されていないデータを保存するための API の実行時使用 (Runtime Use of APIs for Storing Unencrypted Data in Private Storage)
Last updated
Was this helpful?