Debug mode disabled

Modo de depuración deshabilitado

Risk: secure

Descripción

La aplicación está compilada con el modo de depuración deshabilitado. El modo de depuración permite a los atacantes acceder al sistema de archivos de la aplicación y adjuntar un depurador para acceder a datos sensibles o realizar acciones maliciosas.

Por ejemplo, para adjuntar un depurador de Java (JDWP):

$adb forward tcp:7777 jdwp:$(adb shell ps | grep "package-id")
$jdb -attach localhost:7777

Para acceder al sistema de archivos de la aplicación:

$adb shell
$run-as package-id
$...insert malicious action...

Un atacante puede depurar la aplicación sin tener acceso al código fuente y aprovecharlo para realizar acciones maliciosas en nombre del usuario, modificar el comportamiento de la aplicación o acceder a datos sensibles como credenciales y cookies de sesión.

Recomendación

La implementación es segura, no se aplican recomendaciones.

Enlaces

• DRD10-J Do not release apps that are debuggable (CERT Secure Coding)

Estándares

• HIPAA_CONTROLS:
  • SECURITY215
  • SECURITY212