Skip to content

MASTG-TEST-0285: Versão Desatualizada do Android Permite Confiança em CAs fornecidas pelo usuário

Visão Geral

Este teste avalia se um aplicativo Android implicitamente confia em certificados CA adicionados pelo usuário por padrão, o que ocorre com aplicativos que podem ser instalados em dispositivos que executam API level 23 ou inferior.

Esses aplicativos dependem da Network Security Configuration padrão, que confia tanto em Autoridades de Certificação (CAs) do sistema quanto nas instaladas pelo usuário. Essa confiança pode expor o aplicativo a ataques MITM), já que CAs maliciosas instaladas por usuários podem interceptar comunicações seguras.

Etapas

  1. Obtenha o AndroidManifest.xml ( Obtenção de Informações do AndroidManifest).
  2. Leia o valor do atributo minSdkVersion do elemento <uses-sdk>.

Observação

A saída contém o valor de minSdkVersion.

Avaliação

O caso de teste falha se minSdkVersion for menor que 24.