MASTG-TEST-0225: Uso de Tamanho de Chave de Assinatura Inseguro

Visão Geral

Para aplicativos Android, a força criptográfica da assinatura do APK é essencial para manter a integridade e autenticidade do aplicativo. Utilizar uma chave de assinatura com comprimento insuficiente, como uma chave RSA com menos de 2048 bits, enfraquece a segurança, facilitando que atacantes comprometam a assinatura. Essa vulnerabilidade pode permitir que agentes maliciosos forjem assinaturas, adulterem o código do aplicativo ou distribuam versões modificadas não autorizadas.

Etapas

1. Liste as informações adicionais de assinatura usando Obtendo Informações sobre a Assinatura do APK.

Observação

A saída deve conter a informação sobre o tamanho da chave em uma linha como: Signer #1 key size (bits):.

Avaliação

O caso de teste falha se qualquer um dos tamanhos de chave (em bits) for inferior a 2048 (RSA). Por exemplo, Signer #1 key size (bits): 1024.