Unused permissions (overprivileged)

Autorisations non utilisées (privilèges excessifs)

Risque: hardening

Description

L'application demande des autorisations, mais n'utilise jamais la ressource accordée.

Recommandation

Supprimez les autorisations déclarées non utilisées du manifeste de l'application.

Si l'application déclare par exemple l'autorisation ACCESS_FINE_LOCATION mais ne l'utilise pas, vous pouvez la supprimer de votre manifeste d'application :

• Avant :

XML

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.myapp">

    <uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />

    <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/AppTheme">
        <!-- Other application components -->
    </application>

</manifest>

• Après :

XML

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.myapp">

    <application
        android:allowBackup="true"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/AppTheme">
        <!-- Other application components -->
    </application>

</manifest>

Liens

• Permissions on Android
• Underestimated Privacy Implications of the ACCESS_WIFI_STATE

Normes

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_1
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_1
• CWE_TOP_25:
  • CWE_276
• PCI_STANDARDS:
  • REQ_6_2
  • REQ_7_3
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
• CNIL_FOR_EDITORS:
  • EDITORS_5_1_1
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213