MASTG-TEST-0216: Dados Sensíveis Não Excluídos do Backup

Visão Geral

Este teste verifica se os aplicativos instruem corretamente o sistema a excluir arquivos sensíveis de backups, realizando um backup e restauração dos dados do aplicativo e verificando quais arquivos são restaurados.

Consulte Referências a Configurações de Backup Que Não Excluem Dados Sensíveis para uma contraparte de análise estática.

O Android fornece uma maneira de iniciar o daemon de backup para fazer backup e restaurar arquivos de aplicativos, que você pode usar para verificar quais arquivos são realmente restaurados do backup.

Etapas

1. Inicie o dispositivo.
2. Instale um aplicativo em seu dispositivo.
3. Inicie e use o aplicativo, percorrendo os vários fluxos de trabalho enquanto insere dados sensíveis sempre que possível.
4. Realize um backup e restauração dos dados do aplicativo ( Realizando Backup e Restauração de Dados do Aplicativo).
5. Desinstale e reinstale o aplicativo, mas não o abra mais.
6. Restaure os dados do backup e obtenha a lista de arquivos restaurados.

Observação

A saída deve conter uma lista de arquivos que são restaurados do backup.

Avaliação

O teste falha se qualquer um dos arquivos for considerado sensível.

Mitigations

• Excluir Dados Sensíveis de Backups

Demos

MASTG-DEMO-0035: Exclusão de Dados com backup_rules.xml usando adb backup MASTG-DEMO-0020: Exclusão de Dados usando backup_rules.xml com o Backup Manager