MASTG-TEST-0276: Uso do General Pasteboard do iOS

Visão Geral

Este teste verifica se o aplicativo utiliza a área de transferência geral do sistema), que é persistente mesmo após reinicializações do dispositivo e desinstalações de aplicativos, sendo acessível por todos os aplicativos em primeiro plano e, em alguns casos, por outros dispositivos. Armazenar dados sensíveis nessa área pode representar um risco à privacidade.

O teste analisa estaticamente o código em busca do uso da área de transferência geral (UIPasteboard.general) e verifica se dados sensíveis são gravados usando qualquer um dos seguintes métodos:

• addItems
• setItems
• setData
• setValue

Etapas

1. Execute uma análise estática usando radare2 para iOS para detectar o uso da área de transferência geral.
2. Execute uma análise estática usando radare2 para iOS para detectar o uso dos métodos da área de transferência que possam estar manipulando dados sensíveis.

Observação

A saída deve conter uma lista de locais onde as APIs relevantes são utilizadas.

Avaliação

O teste falha se forem feitas chamadas para UIPasteboard.generalPasteboard e dados sensíveis forem gravados nela.

Como a determinação do que constitui dados sensíveis depende do contexto, pode ser difícil detectar isso estaticamente. Para verificar se dados sensíveis estão sendo gravados na área de transferência usando os métodos mencionados, inspecione os locais de código relatados no código de engenharia reversa (consulte Revisão de Código Desmontado em Objective-C e Swift).