Notification Spoofing
通知スプーフィング
説明
アプリケーションは、不正な通知を受信するための入力ポイントを公開しており、ユーザーをフィッシング、不正アクセス、または Remote Code Execution にさらす可能性があります。
通知を利用した攻撃は、過去にWolfRATやMandrakeのような悪意のあるアプリケーションによって利用されてきました。
不正な通知の公開の一般的な原因は、FirebaseサービスまたはCordovaの PushHandlerActivity のようなサードパーティのプッシュ通知における、安全でない、または欠落しているパーミッションです。
推奨事項
不正な通知を防ぐために、以下の保護が実装されていることを確認してください。
- 通知処理サービスおよびアクティビティは、適切なパーミッションで制限され、必要でない限りエクスポート/ブラウズ可能(browsable)にしないでください。
- パーミッションがアプリケーションのコンテキストに適切な安全な保護レベルで設定されていることを確認してください。
例えば、通知ハンドラアクティビティが com.adobe.phonegap.push.PushHandlerActivity の場合:
<activity android:name="com.adobe.phonegap.push.PushHandlerActivity"
android:exported="false"/>
リンク
標準
- OWASP_MASVS_L1:
- MSTG_AUTH_12
- OWASP_MASVS_L2:
- MSTG_AUTH_12
- CWE_TOP_25:
- CWE_20
- CWE_276
- GDPR:
- ART_5
- ART_32
- PCI_STANDARDS:
- REQ_6_2
- REQ_6_3
- REQ_7_3
- REQ_11_3
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- CNIL_FOR_EDITORS:
- EDITORS_4_1_1
- HIPAA_CONTROLS:
- SECURITY221
- SECURITY212
- SECURITY213