Skip to content

MASTG-TEST-0224: Uso de Versão de Assinatura Insegura

Visão Geral

Não utilizar esquemas mais recentes de assinatura de APK significa que o aplicativo carece da segurança aprimorada fornecida por mecanismos atualizados e mais robustos.

Este teste verifica se o esquema de assinatura v1, considerado obsoleto, está habilitado. O esquema v1 é vulnerável a certos ataques, como a vulnerabilidade "Janus" (CVE-2017-13156), porque não abrange todas as partes do arquivo APK, permitindo que agentes maliciosos potencialmente modifiquem partes do APK sem invalidar a assinatura. Depender exclusivamente da assinatura v1, portanto, aumenta o risco de violação e compromete a segurança do aplicativo.

Para saber mais sobre Esquemas de Assinatura de APK, consulte "Processo de Assinatura").

Passos

  1. Obtenha o atributo minSdkVersion do AndroidManifest.xml, por exemplo, via Obtenção de Informações do AndroidManifest.
  2. Liste todos os esquemas de assinatura utilizados, conforme mostrado em Obtendo Informações sobre a Assinatura do APK.

Observação

A saída deve conter o valor do atributo minSdkVersion e os esquemas de assinatura utilizados (por exemplo, Verified using v3 scheme (APK Signature Scheme v3): true).

Avaliação

O caso de teste falha se o aplicativo tiver um atributo minSdkVersion igual ou acima de 24 e apenas o esquema de assinatura v1 estiver habilitado.

Mitigations