MASTG-TEST-0205: Uso de Fontes Não Aleatórias

Visão Geral¶

Aplicações Android às vezes utilizam fontes não aleatórias para gerar valores "aleatórios", o que pode levar a vulnerabilidades de segurança. Práticas comuns incluem depender do horário atual, como Date().getTime(), ou acessar Calendar.MILLISECOND para produzir valores que são facilmente adivinháveis e reproduzíveis.

Passos¶

Execute uma ferramenta de análise estática ( Análise Estática no Android) no aplicativo e procure por usos de fontes não aleatórias.

Observação¶

A saída deve conter uma lista de locais onde fontes não aleatórias são utilizadas.

Avaliação¶

O caso de teste falha se for possível encontrar valores relevantes para segurança, como senhas ou tokens, gerados utilizando fontes não aleatórias.

Mitigations¶

Use APIs Seguras de Geração de Números Aleatórios

Demos¶

MASTG-DEMO-0008: Usos de Fontes Não Aleatórias