Debug mode disabled

デバッグモード無効

Risk: secure

説明

アプリケーションはデバッグモードが無効な状態でコンパイルされています。デバッグモードを使用すると、攻撃者はアプリケーションのファイルシステムにアクセスし、デバッガーをアタッチして機密データにアクセスしたり、悪意のあるアクションを実行したりできます。

例えば、Java（JDWP）デバッガーをアタッチする場合：

$adb forward tcp:7777 jdwp:$(adb shell ps | grep "package-id")
$jdb -attach localhost:7777

アプリケーションのファイルシステムにアクセスする場合：

$adb shell
$run-as package-id
$...insert malicious action...

攻撃者はソースコードにアクセスしなくてもアプリケーションをデバッグでき、それを利用してユーザーの代わりに悪意のあるアクションを実行したり、アプリケーションの動作を変更したり、認証情報やセッションCookieなどの機密データにアクセスしたりできます。

推奨事項

実装は安全であり、推奨事項は適用されません。

リンク

• DRD10-J Do not release apps that are debuggable (CERT Secure Coding)

基準

• HIPAA_CONTROLS:
  • SECURITY215
  • SECURITY212