Skip to content

MASTG-TEST-0203: Uso em Tempo de Execução de Logging APIs

Visão Geral

Em plataformas Android, APIs de logging)) como Log, Logger, System.out.print, System.err.print e java.lang.Throwable#printStackTrace podem inadvertidamente levar ao vazamento de informações sensíveis. As mensagens de log são registradas no logcat, um buffer de memória compartilhada, acessível desde o Android 4.1 (API level 16) apenas para aplicações do sistema privilegiadas que declaram a permissão READ_LOGS. No entanto, o vasto ecossistema de dispositivos Android inclui aplicativos pré-instalados com o privilégio READ_LOGS, aumentando o risco de exposição de dados sensíveis. Portanto, o registro direto no logcat geralmente é desaconselhado devido à sua suscetibilidade a vazamentos de dados.

Etapas

  1. Instale e execute o aplicativo.
  2. Navegue até a tela do aplicativo móvel da qual você deseja analisar a saída de log.
  3. Execute um rastreamento de método ( Rastreamento de Métodos) (usando, por exemplo, Frida para Android) anexando ao aplicativo em execução, direcionando as APIs de logging e salve a saída.

Observação

A saída deve conter uma lista de locais onde as APIs de logging são usadas no aplicativo durante a execução atual.

Avaliação

O caso de teste falha se for possível encontrar dados sensíveis sendo registrados por meio dessas APIs.

Mitigations

Demos

MASTG-DEMO-0006: Rastreamento de APIs comuns de logging em busca de segredos