Debug mode enabled
Mode de débogage activé
Description
L'attribut android:debuggable dans la balise Application défini dans le manifeste Android (Android Manifest) détermine si l'application peut être déboguée.
Le mode de débogage permet aux attaquants d'accéder au système de fichiers de l'application, d'attacher un débogueur et d'accéder aux données sensibles ou d'effectuer des actions malveillantes.
Les étapes suivantes peuvent être utilisées pour démarrer une session de débogage à l'aide de jdb :
- Utilisez
adb jdwppour identifier lePIDde l'application cible :
$adb jdwp
3466
15446
- Créez un canal de communication à l'aide de
adbet attachez-vous à celui-ci avecjdb:
$adb forward tcp:7777 jdwp:$(adb shell ps | grep "package-id")
$jdb -attach localhost:7777
- Accédez au système de fichiers de l'application :
$adb shell
$run-as package-id
$...insert malicious action...
Un attaquant peut déboguer l'application sans avoir accès au code source et en tirer parti pour effectuer des actions malveillantes au nom de l'utilisateur, modifier le comportement de l'application ou accéder à des données sensibles telles que les identifiants et les cookies de session.
Recommandation
Désactivez le mode de débogage en définissant l'attribut android:debuggeable sur false dans la balise Application du manifeste Android (Android Manifest).
<application android:icon="@drawable/icon" android:debuggable="false">
Liens
Normes
- OWASP_MASVS_L1:
- MSTG_CODE_2
- OWASP_MASVS_L2:
- MSTG_CODE_2
- PCI_STANDARDS:
- REQ_2_2
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213
- SECURITY255