MASTG-TEST-0226: Flag Debuggable Habilitada no AndroidManifest
Visão Geral¶
Este caso de teste verifica se o aplicativo possui a flag debuggable (android:debuggable) definida como true no arquivo AndroidManifest.xml. Quando esta flag está habilitada, permite que o aplicativo seja depurado, possibilitando que atacantes inspecionem os componentes internos do app, contornem controles de segurança ou manipulem o comportamento em tempo de execução.
Embora definir a flag debuggable como true não seja considerado uma vulnerabilidade direta, isso aumenta significativamente a superfície de ataque ao fornecer acesso não autorizado a dados e recursos do aplicativo, especialmente em ambientes de produção.
Passos¶
- Obtenha o arquivo
AndroidManifest.xmlusando Obtenção de Informações do AndroidManifest. - Procure pela flag
debuggable:- Procure por
android:debuggablese estiver analisando o XML bruto usando ferramentas como Ferramenta Apktool. - Procure por
application-debuggablese estiver usando aapt2.
- Procure por
Observação¶
A saída deve mostrar explicitamente se a flag debuggable está definida (true ou false). Se a flag não for especificada, ela é tratada como false por padrão para builds de release.
Avaliação¶
O caso de teste falha se a flag debuggable estiver explicitamente definida como true. Isso indica que o aplicativo está configurado para permitir depuração, o que é inadequado para ambientes de produção.
Mitigations¶
Demos¶
MASTG-DEMO-0040: Flag Depurável Habilitada no AndroidManifest com semgrep