MASTG-APP-0014: InsecureShop
O InsecureShop é um aplicativo Android projetado intencionalmente para demonstrar vulnerabilidades, com o objetivo de educar desenvolvedores e especialistas em segurança sobre as falhas comuns em aplicativos Android modernos. Ele serve como uma plataforma dinâmica para aprimorar habilidades de teste de penetração Android.
A maioria dessas vulnerabilidades pode ser explorada em dispositivos não-rootados, representando riscos tanto de usuários remotos quanto de aplicativos de terceiros maliciosos. Vale destacar que o aplicativo não utiliza nenhuma API. O InsecureShop oferece uma oportunidade para explorar uma variedade de vulnerabilidades:
- Credenciais Embutidas: Credenciais de login incorporadas no código.
- Validação Insuficiente de URL: Permite o carregamento de URLs arbitrárias através de Deeplinks.
- Execução Arbitrária de Código: Possibilita a execução de código de pacotes de terceiros.
- Acesso a Componentes Protegidos: Permite que aplicativos de terceiros iniciem componentes seguros.
- Receptor de Transmissão Inseguro: Registro de uma transmissão que permite injeção de URL.
- Provedor de Conteúdo Inseguro: Provedor de conteúdo acessível que coloca os dados do usuário em risco.
Complementando essas experiências de aprendizado, o InsecureShop fornece documentação sobre as vulnerabilidades implementadas e seu código associado. Esta documentação, no entanto, abstém-se de oferecer soluções completas para cada vulnerabilidade apresentada no aplicativo InsecureShop.