Debug mode disabled

Mode de débogage désactivé

Risk: secure

Description

L'application est compilée avec le mode de débogage désactivé. Le mode de débogage permet aux attaquants d'accéder au système de fichiers de l'application et d'attacher un débogueur pour accéder aux données sensibles ou effectuer des actions malveillantes.

Par exemple, pour attacher un débogueur Java (JDWP) :

$adb forward tcp:7777 jdwp:$(adb shell ps | grep "package-id")
$jdb -attach localhost:7777

Pour accéder au système de fichiers de l'application :

$adb shell
$run-as package-id
$...insert malicious action...

Un attaquant peut déboguer l'application sans avoir accès au code source et en tirer parti pour effectuer des actions malveillantes au nom de l'utilisateur, modifier le comportement de l'application ou accéder à des données sensibles telles que les identifiants et les cookies de session.

Recommandation

L'implémentation est sécurisée, aucune recommandation ne s'applique.

Liens

• DRD10-J Do not release apps that are debuggable (CERT Secure Coding)

Normes

• HIPAA_CONTROLS:
  • SECURITY215
  • SECURITY212