Skip to content

MASTG-TEST-0206: Dados Sensíveis na Captura de Tráfego de Rede

Visão Geral

Ataques podem capturar o tráfego de rede de dispositivos Android usando um proxy de interceptação, como ZAP, Burp Suite ou mitmproxy, para analisar os dados transmitidos pelo aplicativo. Isso funciona mesmo se o aplicativo usar HTTPS, pois o atacante pode instalar um certificado raiz personalizado no dispositivo Android para descriptografar o tráfego. Inspecionar tráfego que não está criptografado com HTTPS é ainda mais fácil e pode ser feito sem instalar um certificado raiz personalizado, por exemplo, usando Wireshark.

O objetivo deste teste é verificar se dados sensíveis não estão sendo enviados pela rede, mesmo que o tráfego esteja criptografado. Este teste é especialmente importante para aplicativos que lidam com dados sensíveis, como dados financeiros ou de saúde, e deve ser realizado em conjunto com uma revisão da política de privacidade do aplicativo e das declarações de privacidade da App Store.

Etapas

  1. Inicie o dispositivo.
  2. Comece a registrar dados sensíveis do tráfego de rede ( Registro de Dados Sensíveis do Tráfego de Rede). Por exemplo, usando mitmproxy.
  3. Inicie e use o aplicativo, percorrendo os diversos fluxos de trabalho enquanto insere dados sensíveis sempre que possível. Especialmente em locais onde você sabe que isso irá disparar tráfego de rede.

Observação

A saída deve conter um registro de dados sensíveis do tráfego de rede que inclua o tráfego HTTPS descriptografado.

Avaliação

O caso de teste falha se você conseguir encontrar os dados sensíveis inseridos no aplicativo que não estão declarados nas declarações de privacidade da App Store.

Observe que este teste não fornece nenhuma localização de código onde os dados sensíveis estão sendo enviados pela rede. Para identificar as localizações de código, você pode usar ferramentas de análise estática como semgrep ou ferramentas de análise dinâmica como Frida.

Demos

MASTG-DEMO-0009: Detecção de Dados Sensíveis no Network Traffic