MASTG-TEST-0004: Determinando se Dados Sensíveis São Compartilhados com Terceiros via Embedded Services

Visão Geral

Análise Estática

Para determinar se as chamadas de API e funções fornecidas pela biblioteca de terceiros são utilizadas de acordo com as melhores práticas, revise seu código-fonte, permissões solicitadas e verifique a existência de vulnerabilidades conhecidas.

Todos os dados enviados para serviços de terceiros devem ser anonimizados para evitar a exposição de PII (Informação de Identificação Pessoal) que permitiria ao terceiro identificar a conta do usuário. Nenhum outro dado (como IDs que possam ser mapeados para uma conta de usuário ou sessão) deve ser enviado a terceiros.

Análise Dinâmica

Verifique todas as requisições para serviços externos em busca de informações sensíveis incorporadas. Para interceptar o tráfego entre o cliente e o servidor, você pode realizar uma análise dinâmica iniciando um ataque de Homem-no-Meio (MITM))) com Burp Suite ou ZAP. Uma vez que você roteie o tráfego através do proxy de interceptação, pode tentar capturar o tráfego que passa entre o aplicativo e o servidor. Todas as requisições do aplicativo que não forem enviadas diretamente ao servidor onde a função principal está hospedada devem ser verificadas quanto a informações sensíveis, como PII em um serviço de rastreamento ou publicidade.