MASTG-TECH-0129: Verificando Dependências do Android em Tempo de Execução

As técnicas preferenciais para análise de dependências são Análise de Composição de Software (SCA) de Dependências do Android no Momento da Compilação e Análise de Composição de Software (SCA) de Dependências Android através da Criação de uma SBOM. Esta técnica, que é descrita aqui, deve ser utilizada apenas em um ambiente black-box por ser manual e não poder ser facilmente automatizada.

Ao analisar um aplicativo, é importante analisar suas dependências, que geralmente estão na forma de bibliotecas, e garantir que elas não contenham vulnerabilidades conhecidas. Se o código-fonte não estiver disponível, você pode descompilar o aplicativo e verificar os arquivos JAR. Se Proguard ou outras ferramentas de ofuscação forem usadas corretamente, as informações sobre a versão da biblioteca geralmente estarão ofuscadas. Caso contrário, essas informações ainda podem ser encontradas nos comentários dos arquivos Java das bibliotecas em questão. Ferramentas como blint podem ajudar a analisar as possíveis bibliotecas empacotadas com o aplicativo. Se for possível determinar a versão da biblioteca, seja a partir dos comentários ou de métodos específicos usados em determinadas versões, você pode pesquisar manualmente por CVEs.