MASTG-TEST-0080: Teste de Atualização Obrigatória

Visão Geral

Análise Estática

Primeiro, verifique se existe algum mecanismo de atualização: se ainda não estiver presente, pode significar que os usuários não podem ser forçados a atualizar. Se o mecanismo estiver presente, verifique se ele impõe "sempre a versão mais recente" e se isso está de fato alinhado com a estratégia de negócios. Caso contrário, verifique se o mecanismo suporta a atualização para uma versão específica. Certifique-se de que toda entrada na aplicação passe pelo mecanismo de atualização, para garantir que ele não possa ser contornado.

Análise Dinâmica

Para testar a atualização adequada: tente baixar uma versão mais antiga da aplicação com uma vulnerabilidade de segurança, seja por meio de um lançamento dos desenvolvedores ou usando uma loja de aplicativos de terceiros. Em seguida, verifique se você pode continuar usando a aplicação sem atualizá-la. Se um prompt de atualização for exibido, verifique se ainda é possível usar a aplicação cancelando o prompt ou contornando-o de alguma forma por meio do uso normal do aplicativo. Isso inclui validar se o backend interrompe chamadas para backends vulneráveis e/ou se a própria versão vulnerável do aplicativo é bloqueada pelo backend. Por fim, tente modificar o número da versão de um aplicativo enquanto intercepta seu tráfego usando um proxy de Homem-no-Meio (MITM)), e observe como o backend responde (incluindo se a alteração é registrada, por exemplo).