Enumeração de Fraquezas de Segurança de Aplicativos Móveis (MASVS)

Content in BETA

This content is in beta and still under active development, so it is subject to change any time (e.g. structure, IDs, content, URLs, etc.).

Send Feedback

Sobre a Enumeração de Fraquezas de Segurança de Aplicações Móveis (MASWE)

O Mobile Application Security Weakness Enumeration (MASWE) é uma lista de fraquezas comuns de segurança e privacidade em aplicações móveis. Destina-se a ser usado como referência para desenvolvedores, pesquisadores de segurança e profissionais de segurança. Ele atua como a ponte entre o MASVS e o MASTG.

Para sua definição, nos inspiramos no Common Weakness Enumeration (CWE), que é uma lista desenvolvida pela comunidade de fraquezas comuns de segurança de software. O MASWE pretende ser uma lista complementar ao CWE, com foco específico em fraquezas de segurança em aplicações móveis.

Uma fraqueza é um problema de segurança ou privacidade que pode ser introduzido em uma aplicação móvel. As fraquezas são categorizadas pelas categorias e controles do MASVS. Por exemplo, uma fraqueza relacionada ao uso de geradores inseguros de números aleatórios é categorizada sob o controle MASVS-CRYPTO-1.

Cada fraqueza contém as seguintes informações:

  • Visão geral: Uma breve descrição da fraqueza.
  • Impacto: O impacto potencial da fraqueza na segurança ou privacidade da aplicação.
  • Modos de introdução: As formas pelas quais a fraqueza pode ser introduzida em uma aplicação.
  • Mitigações: Recomendações para mitigar a fraqueza.

"Weakness vs Vulnerability": É importante notar que uma fraqueza não é uma vulnerabilidade, mas pode levar à introdução de vulnerabilidades. De acordo com o CWE, uma fraqueza é uma condição em um componente de software, firmware, hardware ou serviço que, sob certas circunstâncias, pode contribuir para a introdução de vulnerabilidades. Já uma vulnerabilidade é uma falha em um componente de software, firmware, hardware ou serviço resultante de uma fraqueza que pode ser explorada, causando um impacto negativo na confidencialidade, integridade ou disponibilidade de um componente ou componentes impactados.

ID Title Platform MASVS v2 ID L1 L2 R P Status
MASWE-0087 Análise e Escape Inseguros platform:android platform:ios MASVS-CODE-4 profile:L2 placeholderstatus:placeholder
MASWE-0075 Atualização Obrigatória Não Implementada platform:android platform:ios MASVS-CODE-2 profile:L2 placeholderstatus:placeholder
MASWE-0086 Injeção de SQL platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0078 Versão Mais Recente da Plataforma Não Direcionada platform:android platform:ios MASVS-CODE-1 profile:L2 placeholderstatus:placeholder
MASWE-0082 Manipulação Insegura de Dados do Local Storage platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0081 Manipulação Insegura de Dados de Interfaces Externas platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0079 Manipulação Insegura de Dados da Rede platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0084 Manipulação Insegura de Dados de IPC platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0076 Dependências com Vulnerabilidades Conhecidas platform:android platform:ios MASVS-CODE-3 profile:L1 profile:L2 newstatus:new
MASWE-0085 Carregamento Dinâmico de Código Inseguro platform:android platform:ios MASVS-CODE-4 profile:L2 placeholderstatus:placeholder
MASWE-0083 Manipulação Insegura de Dados da Interface do Usuário platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0080 Manipulação Insegura de Dados de Backups platform:android platform:ios MASVS-CODE-4 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0077 Execução em uma Versão Recente da Plataforma Não Garantida platform:android platform:ios MASVS-CODE-1 profile:L2 placeholderstatus:placeholder
MASWE-0088 Desserialização Insegura de Objetos platform:android platform:ios MASVS-CODE-4 profile:L2 placeholderstatus:placeholder
MASWE-0116 Recursos de Segurança Fornecidos pelo Compilador Não Utilizados platform:android platform:ios MASVS-CODE-3 profile:L2 placeholderstatus:placeholder
MASWE-0026 Verificação Inadequada de Assinatura Criptográfica platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0009 Geração Imprópria de Chaves Criptográficas platform:android platform:ios MASVS-CRYPTO-2 profile:L1 profile:L2 newstatus:new
MASWE-0019 Implementações de Criptografia Arriscadas platform:android platform:ios MASVS-CRYPTO-1 profile:L2 newstatus:new
MASWE-0022 Vetores de Inicialização (IVs) Previsíveis platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0023 Padding Arriscado platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 newstatus:new
MASWE-0013 Chaves Criptográficas Embarcadas em Uso platform:android platform:ios MASVS-CRYPTO-2 deprecatedstatus:deprecated
MASWE-0027 Geração Inadequada de Números Aleatórios platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 newstatus:new
MASWE-0015 Implementações Obsoletas do Android KeyStore platform:android MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0014 Chaves Criptográficas Não Protegidas Adequadamente em Repouso platform:android platform:ios MASVS-CRYPTO-2 profile:L1 profile:L2 newstatus:new
MASWE-0017 Chaves Criptográficas Não São Protegidas Adequadamente na Exportação platform:android platform:ios MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0018 Acesso às Cryptographic Keys Não Restrito platform:android platform:ios MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0020 Criptografia Imprópria platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 newstatus:new
MASWE-0021 Hashing Impróprio platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0012 Uso Inseguro ou Incorreto de Chave Criptográfica platform:android platform:ios MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0010 Derivação Imprópria de Chave Criptográfica platform:android platform:ios MASVS-CRYPTO-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0025 Geração Imprópria de Assinaturas Criptográficas platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0024 Uso Inadequado de Message Authentication Code (MAC) platform:android platform:ios MASVS-CRYPTO-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0011 Rotação de Chaves Criptográficas Não Implementada platform:android platform:ios MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0016 Manipulação Insegura de Chaves Criptográficas Importadas platform:android platform:ios MASVS-CRYPTO-2 profile:L2 placeholderstatus:placeholder
MASWE-0054 Vazamento de Dados Sensíveis via Notifications platform:android platform:ios MASVS-PLATFORM-3 profile:L2 placeholderstatus:placeholder
MASWE-0063 Receptores de Transmissão Inseguros platform:android MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0068 JavaScript Bridges em WebViews platform:android platform:ios MASVS-PLATFORM-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0065 Dados Sensíveis Compartilhados Permanentemente com Outros Aplicativos platform:android MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0069 WebViews Permitem Acesso a Recursos Locais platform:android platform:ios MASVS-PLATFORM-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0053 Dados Sensíveis Vazados via User Interface platform:android platform:ios MASVS-PLATFORM-3 profile:L2 placeholderstatus:placeholder
MASWE-0056 Ataques de Tapjacking platform:android platform:ios MASVS-PLATFORM-3 profile:L2 placeholderstatus:placeholder
MASWE-0057 Ataque StrandHogg / Vulnerabilidade de Task Affinity platform:android MASVS-PLATFORM-3 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0066 Intents Inseguros platform:android MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0059 Uso de IPC de Plataforma Não Autenticado platform:android platform:ios MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0060 Uso Inseguro do UIActivity platform:ios MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0064 Content Providers Inseguros platform:android MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0070 JavaScript Carregado de Fontes Não Confiáveis platform:android platform:ios MASVS-PLATFORM-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0072 Universal XSS platform:android platform:ios MASVS-PLATFORM-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0067 Sinalizador Depurável Não Desativado platform:android platform:ios MASVS-RESILIENCE-4 profile:R newstatus:new
MASWE-0061 Uso Inseguro de App Extensions platform:ios MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0073 Implementações Inseguras de WebResourceResponse platform:android MASVS-PLATFORM-2 profile:L2 placeholderstatus:placeholder
MASWE-0074 Depuração de Conteúdo Web Habilitada platform:android platform:ios MASVS-PLATFORM-2 profile:L2 placeholderstatus:placeholder
MASWE-0062 Serviços Inseguros platform:android MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0071 WebViews Carregando Conteúdo de Fontes Não Confiáveis platform:android platform:ios MASVS-PLATFORM-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0058 Deep Links Inseguros platform:android platform:ios MASVS-PLATFORM-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0055 Dados Sensíveis Vazados via Capturas de Tela platform:android platform:ios MASVS-PLATFORM-3 profile:L2 placeholderstatus:placeholder
MASWE-0112 Declarações Inadequadas de Coleta de Dados platform:android platform:ios MASVS-PRIVACY-3 profile:P newstatus:new
MASWE-0113 Falta de Controles Adequados de Gerenciamento de Dados platform:android platform:ios MASVS-PRIVACY-4 profile:P newstatus:new
MASWE-0111 Política de Privacidade Inadequada platform:android platform:ios MASVS-PRIVACY-3 profile:P newstatus:new
MASWE-0115 Mecanismos de Consentimento do Usuário Inadequados ou Ambíguos platform:android platform:ios MASVS-PRIVACY-4 profile:P newstatus:new
MASWE-0114 Controles de Visibilidade de Dados Inadequados platform:android platform:ios MASVS-PRIVACY-4 profile:P newstatus:new
MASWE-0117 Gerenciamento Inadequado de Permissões platform:android platform:ios MASVS-PRIVACY-1 profile:P newstatus:new
MASWE-0109 Falta de Medidas de Anonimização ou Pseudonimização platform:android platform:ios MASVS-PRIVACY-2 profile:P newstatus:new
MASWE-0108 Dados Sensíveis no Tráfego de Rede platform:android platform:ios MASVS-PRIVACY-1 profile:P newstatus:new
MASWE-0110 Uso de Identificadores Únicos para Rastreamento de Usuário platform:android platform:ios MASVS-PRIVACY-2 profile:P newstatus:new
MASWE-0033 Protocolos de Autenticação ou Autorização com Melhores Práticas de Segurança Não Seguidas platform:android platform:ios MASVS-AUTH-1 profile:L2 placeholderstatus:placeholder
MASWE-0037 Credenciais de Autenticação Enviadas por Conexões Inseguras platform:android platform:ios MASVS-AUTH-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0029 Autenticação Step-Up Não Implementada Após o Login platform:android platform:ios MASVS-AUTH-3 profile:L2 placeholderstatus:placeholder
MASWE-0034 Implementação Insegura da Confirmação de Credenciais platform:android MASVS-AUTH-2 profile:L2 deprecatedstatus:deprecated
MASWE-0035 Autenticação sem Senha Não Implementada platform:android platform:ios MASVS-AUTH-1 profile:L2 placeholderstatus:placeholder
MASWE-0044 A Autenticação Biométrica Pode Ser Contornada platform:android platform:ios MASVS-AUTH-2 profile:L2 placeholderstatus:placeholder
MASWE-0045 Permitir Fallback para Credenciais Não Biométricas em Transações Sensíveis platform:android platform:ios MASVS-AUTH-2 profile:L2 placeholderstatus:placeholder
MASWE-0038 Tokens de Autenticação Não Validados platform:android platform:ios MASVS-AUTH-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0046 Chaves Criptográficas Não Invalidadas no Novo Cadastro Biométrico platform:android platform:ios MASVS-AUTH-2 profile:L2 placeholderstatus:placeholder
MASWE-0005 Chaves de API Hardcoded no Pacote do Aplicativo platform:android platform:ios MASVS-AUTH-1 profile:L1 profile:L2 newstatus:new
MASWE-0036 Material de Autenticação Armazenado Sem Criptografia no Dispositivo platform:android platform:ios MASVS-AUTH-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0039 Shared Web Credentials e Website-association Não Implementados platform:android platform:ios MASVS-AUTH-1 profile:L2 placeholderstatus:placeholder
MASWE-0040 Autenticação Insegura em WebViews platform:android platform:ios MASVS-AUTH-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0042 Autorização Aplicada Apenas Localmente em vez de no Server-side platform:android platform:ios MASVS-AUTH-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0030 Reautenticações Não Acionadas em Mudanças de Estado Contextual platform:android platform:ios MASVS-AUTH-3 profile:L2 placeholderstatus:placeholder
MASWE-0041 Autenticação Aplicada Apenas Localmente em Vez de no Lado do Servidor platform:android platform:ios MASVS-AUTH-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0031 Uso inseguro do Android Protected Confirmation platform:android MASVS-AUTH-3 profile:L2 placeholderstatus:placeholder
MASWE-0043 PIN Personalizado do Aplicativo Não Vinculado ao Platform KeyStore platform:android platform:ios MASVS-AUTH-2 profile:L2 placeholderstatus:placeholder
MASWE-0028 Melhores Práticas de Implementação de MFA Não Seguidas platform:android platform:ios MASVS-AUTH-3 profile:L2 placeholderstatus:placeholder
MASWE-0032 APIs de Autenticação Fornecidas pela Plataforma Não Utilizadas platform:android platform:ios MASVS-AUTH-1 profile:L2 placeholderstatus:placeholder
MASWE-0047 Pinning de Identidade Inseguro platform:android platform:ios MASVS-NETWORK-2 profile:L2 newstatus:new
MASWE-0049 APIs de Rede Comprovadas Não Utilizadas platform:android platform:ios MASVS-NETWORK-1 profile:L2 newstatus:new
MASWE-0050 Tráfego em Texto Claro platform:android platform:ios MASVS-NETWORK-1 profile:L1 profile:L2 newstatus:new
MASWE-0051 Portas Abertas Desprotegidas platform:android platform:ios MASVS-NETWORK-1 profile:L2 newstatus:new
MASWE-0052 Validação de Certificado Insegura platform:android platform:ios MASVS-NETWORK-1 profile:L1 profile:L2 newstatus:new
MASWE-0048 Comunicação Insegura Machine-to-Machine platform:android platform:ios MASVS-NETWORK-1 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0007 Dados Sensíveis Armazenados Não Criptografados no Shared Storage Sem Requerer Interação do Usuário platform:android MASVS-STORAGE-1 profile:L1 profile:L2 newstatus:new
MASWE-0002 Dados Sensíveis Armazenados com Restrições de Acesso Insuficientes em Locais Internos platform:android MASVS-STORAGE-2 profile:L1 profile:L2 placeholderstatus:placeholder
MASWE-0001 Inserção de Dados Sensíveis em Logs platform:android platform:ios MASVS-STORAGE-2 profile:L1 profile:L2 profile:P newstatus:new
MASWE-0006 Dados Sensíveis Armazenados sem Criptografia em Locais de Armazenamento Privado platform:android platform:ios MASVS-STORAGE-1 profile:L2 newstatus:new
MASWE-0003 Backup Não Criptografado platform:android MASVS-STORAGE-2 profile:L2 placeholderstatus:placeholder
MASWE-0004 Dados Sensíveis Não Excluídos do Backup platform:android platform:ios MASVS-STORAGE-2 profile:L1 profile:L2 profile:P newstatus:new
MASWE-0099 Detecção de Emulador Não Implementada platform:android platform:ios MASVS-RESILIENCE-1 profile:R placeholderstatus:placeholder
MASWE-0100 Atestado de Dispositivo Não Implementado platform:android platform:ios MASVS-RESILIENCE-1 profile:R placeholderstatus:placeholder
MASWE-0092 Ferramentas de Static Analysis Não Impedidas platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0097 Detecção de Root/Jailbreak Não Implementada platform:android platform:ios MASVS-RESILIENCE-1 profile:R placeholderstatus:placeholder
MASWE-0098 Detecção de Ambiente de Virtualização de Aplicativos Não Implementada platform:android platform:ios MASVS-RESILIENCE-1 profile:R placeholderstatus:placeholder
MASWE-0093 Símbolos de Depuração Não Removidos platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0105 Integridade dos Recursos do Aplicativo Não Verificada platform:android platform:ios MASVS-RESILIENCE-2 profile:R placeholderstatus:placeholder
MASWE-0106 Verificação da Official Store Não Implementada platform:android platform:ios MASVS-RESILIENCE-2 profile:R placeholderstatus:placeholder
MASWE-0096 Dados Enviados Não Criptografados em Conexões Criptografadas platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0102 Detecção de Ferramentas de Análise Dinâmica Não Implementada platform:android platform:ios MASVS-RESILIENCE-4 profile:R placeholderstatus:placeholder
MASWE-0094 Recursos de Não Produção Não Removidos platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0104 Integridade do Aplicativo Não Verificada platform:android platform:ios MASVS-RESILIENCE-2 profile:R placeholderstatus:placeholder
MASWE-0095 Código Que Desativa Controles de Segurança Não Removido platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0089 Ofuscação de Código Não Implementada platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0008 Ausência de Implementação de Verificação de Bloqueio Seguro do Dispositivo platform:android platform:ios MASVS-RESILIENCE-1 profile:L2 placeholderstatus:placeholder
MASWE-0107 Integridade de Código em Runtime Não Verificada platform:android platform:ios MASVS-RESILIENCE-2 profile:R placeholderstatus:placeholder
MASWE-0103 Técnicas RASP Não Implementadas platform:android platform:ios MASVS-RESILIENCE-4 profile:R placeholderstatus:placeholder
MASWE-0091 Técnicas Anti-Desofuscação Não Implementadas platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0090 Ofuscação de Recursos Não Implementada platform:android platform:ios MASVS-RESILIENCE-3 profile:R placeholderstatus:placeholder
MASWE-0101 Detecção de Debugger Não Implementada platform:android platform:ios MASVS-RESILIENCE-4 profile:R placeholderstatus:placeholder