Unused permissions (overprivileged)

Permisos no utilizados (exceso de privilegios)

Riesgo: hardening

Descripción

La aplicación solicita permisos, pero nunca utiliza el recurso concedido.

Recomendación

Elimine los permisos declarados no utilizados del manifiesto de la aplicación.

Si la aplicación, por ejemplo, declara el permiso ACCESS_FINE_LOCATION pero no lo utiliza, puede eliminarlo del manifiesto de su aplicación:

• Antes:

XML

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.myapp">

    <uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />

    <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/AppTheme">
        <!-- Other application components -->
    </application>

</manifest>

• Después:

XML

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.myapp">

    <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/AppTheme">
        <!-- Other application components -->
    </application>

</manifest>

Enlaces

• Permissions on Android
• Underestimated Privacy Implications of the ACCESS_WIFI_STATE

Estándares

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• CWE_TOP_25:
  • CWE_276
• PCI_STANDARDS:
  • REQ_6_2
  • REQ_7_3
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
• CNIL_FOR_EDITORS:
  • EDITORS_5_1_1
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213