Debug mode disabled

调试模式已禁用

Risk: secure

描述

应用程序在编译时已禁用调试模式。调试模式允许攻击者访问应用程序文件系统，并附加调试器以访问敏感数据或执行恶意操作。

例如，附加 Java（JDWP）调试器：

$adb forward tcp:7777 jdwp:$(adb shell ps | grep "package-id")
$jdb -attach localhost:7777

访问应用程序文件系统：

$adb shell
$run-as package-id
$...insert malicious action...

攻击者可以在无法访问源代码的情况下调试应用程序，并利用它来代表用户执行恶意操作、修改应用程序行为或访问凭据和会话 Cookie 等敏感数据。

建议

该实现是安全的，没有适用的建议。

链接

• DRD10-J Do not release apps that are debuggable (CERT Secure Coding)

标准

• HIPAA_CONTROLS:
  • SECURITY215
  • SECURITY212