Skip to content

MASTG-TEST-0207: Dados Armazenados no App Sandbox em Tempo de Execução

Visão Geral

O objetivo deste teste é recuperar os arquivos gravados no armazenamento interno)) e inspecioná-los, independentemente das APIs utilizadas para gravá-los. Ele utiliza uma abordagem simples baseada na recuperação de arquivos do armazenamento do dispositivo ( Transferência de Dados entre Host e Dispositivo) antes e depois do uso do aplicativo, para identificar os arquivos criados durante a execução do app e verificar se eles contêm dados sensíveis.

Passos

  1. Inicie o dispositivo.

  2. Faça uma primeira cópia do diretório de dados privados do aplicativo ( Acessando Diretórios de App Data) para ter como referência para análise offline. Você pode usar adb, por exemplo.

  3. Inicie e use o aplicativo, percorrendo os diversos fluxos de trabalho enquanto insere dados sensíveis sempre que possível. Anotar os dados inseridos pode ajudar a identificá-los posteriormente usando ferramentas de busca.

  4. Faça uma segunda cópia do diretório de dados privados do aplicativo para análise offline e compare com a primeira cópia para identificar todos os arquivos criados ou modificados durante sua sessão de teste.

Observação

O resultado deve conter uma lista de arquivos que foram criados no armazenamento privado do aplicativo durante a execução.

Avaliação

Tente identificar e decodificar dados que tenham sido codificados usando métodos como codificação base64, representação hexadecimal, codificação de URL, sequências de escape, caracteres largos e métodos comuns de ofuscação de dados, como operações XOR. Considere também identificar e descompactar arquivos compactados, como tar ou zip. Esses métodos obscurecem, mas não protegem, dados sensíveis.

Pesquise nos dados extraídos itens como chaves, senhas e quaisquer dados sensíveis inseridos no aplicativo. O caso de teste falha se qualquer um desses dados sensíveis for encontrado.

Demos

MASTG-DEMO-0010: Instantâneos do File System do Internal Storage