MASTG-TEST-0269: Uso em Tempo de Execução de APIs que Permitem Fallback para Autenticação Não Biométrica
Visão Geral¶
Este teste é a contraparte dinâmica do Referências a APIs que Permitem Retorno para Autenticação Não Biométrica.
Etapas¶
- Use ganchos de métodos em tempo de execução (veja Interceptação de Métodos) e procure por usos de
SecAccessControlCreateWithFlagse flags específicas.
Observação¶
A saída deve conter uma lista de locais onde a função SecAccessControlCreateWithFlags é chamada, incluindo todas as flags utilizadas.
Avaliação¶
O teste falha se o aplicativo usar SecAccessControlCreateWithFlags com as flags kSecAccessControlUserPresence ou kSecAccessControlDevicePasscode para qualquer recurso de dados sensíveis que necessite de proteção.
O teste passa apenas se o aplicativo usar SecAccessControlCreateWithFlags com flags mais restritas, como kSecAccessControlBiometryAny ou kSecAccessControlBiometryCurrentSet, para impor acesso exclusivamente biométrico em qualquer recurso de dados sensíveis que necessite de proteção (sendo kSecAccessControlBiometryCurrentSet considerada a mais segura).
Demos¶
MASTG-DEMO-0044: Uso em Tempo de Execução do kSecAccessControlUserPresence com Frida