Skip to content

MASTG-TEST-0242: Falta de Certificate Pinning na Configuração de Segurança de Rede

Visão Geral

Os aplicativos podem configurar o certificate pinning usando a Network Security Configuration. Para cada domínio, um ou múltiplos resumos (digests) podem ser fixados (pinned).

O objetivo deste teste é verificar se o aplicativo não implementa certificate pinning usando a NSC. No entanto, observe que o aplicativo pode estar utilizando outros métodos de pinning abordados em outros testes.

Passos

  1. Realizar engenharia reversa do aplicativo ( Descompilação de Código Java).
  2. Obter o AndroidManifest.xml ( Obtenção de Informações do AndroidManifest) e verificar se um networkSecurityConfig está definido na tag <application>.
  3. Inspecionar o arquivo de configuração de segurança de rede referenciado e extrair todos os domínios de <domain-config> que possuem um pin definido (<pin-set>).

Observação

A saída deve conter uma lista de domínios que habilitam o certificate pinning.

Avaliação

O caso de teste falha se nenhum networkSecurityConfig estiver definido, ou se qualquer domínio relevante não habilitar o certificate pinning.