MASTG-TEST-0012: Testando a Política de Segurança de Acesso ao Dispositivo

Deprecated Test

This test is deprecated and should not be used anymore. Reason: New version available in MASTG V2

Please check the following MASTG v2 tests that cover this v1 test:

• Referências a APIs para Detecção de Bloqueio de Tela Seguro
• Uso em Runtime de APIs de Detecção de Bloqueio de Tela Seguro

Visão Geral

Aplicativos que processam ou consultam informações sensíveis devem ser executados em um ambiente confiável e seguro. Para criar esse ambiente, o aplicativo pode verificar no dispositivo os seguintes aspectos:

• Bloqueio de dispositivo protegido por PIN ou senha
• Versão recente do sistema operacional Android
• Ativação da depuração USB
• Criptografia do dispositivo
• Rooting do dispositivo (ver também "Teste de Detecção de Root")

Análise Estática

Para testar a política de segurança de acesso ao dispositivo que o aplicativo impõe, deve ser fornecida uma cópia escrita da política. A política deve definir as verificações disponíveis e sua aplicação. Por exemplo, uma verificação pode exigir que o aplicativo seja executado apenas no Android 6.0 (nível de API 23) ou em uma versão mais recente, fechando o aplicativo ou exibindo um aviso se a versão do Android for inferior à 6.0.

Verifique o código-fonte em busca de funções que implementem a política e determine se ela pode ser contornada.

Você pode implementar verificações no dispositivo Android consultando o Settings.Secure para preferências do sistema. A Device Administration API oferece técnicas para criar aplicativos que podem impor políticas de senha e criptografia de dispositivo.

Análise Dinâmica

A análise dinâmica depende das verificações impostas pelo aplicativo e do seu comportamento esperado. Se as verificações puderem ser contornadas, elas devem ser validadas.