Приложение 2. Список обнаруживаемых уязвимостей

Все уязвимости, обнаруживаемые во время сканирований, относятся к какому-либо из требований стандартов информационной безопасности, на соответствие которым проверяется приложение. На каждую выявленную уязвимость в системе заводится дефект. С требованием соотносятся определенные типы дефектов, при нахождении которых в приложении требование будет считаться не выполненным. Работа с выявленными уязвимостями в системе проводится на странице с результатами сканирования на вкладке Дефекты, см. подробности в разделе «Результаты сканирований».

Полный список обнаруживаемых системой уязвимостей и уровень критичности соответствующих им дефектов выглядит так:

Рекомендации для Android

Небезопасное хранение ключевой информации

• Доступное на запись хранилище ключей

• Доступное на запись хранилище ключей со слабым паролем

• Доступное на чтение файловое хранилище ключей

• Доступное на чтение хранилище ключей со слабым паролем, содержащее закрытые ключи

• Доступное на чтение хранилище ключей со слабым паролем, содержащее открытые ключи

• Доступное на чтение хранилище ключей с приватными ключами, защищёнными слабым паролем

• Использование файлового хранилища ключей

• Хранилище ключей со слабым паролем, содержащее закрытые ключи

• Хранилище ключей со слабым паролем, содержащее открытые ключи

• Хранилище ключей с приватными ключами, защищёнными слабым паролем

Передача sensitive-информации в Activity

• Небезопасная передача sensitive-информации в Activity

• Небезопасная передача sensitive-информации во внешнюю Activity

• Передача sensitive-информации во внутреннюю Activity

Передача sensitive-информации в Service

• Небезопасная передача sensitive-информации в Service

• Небезопасная передача sensitive-информации во внешний Service

• Небезопасная передача sensitive-информации во внутренний Service

Передача sensitive-информации по сети

• Включение sensitive-информации в параметры GET-запроса

• Включение чувствительной информации в HTTPS запрос

• Передача sensitive информации в HTTP-запросе

• Получение sensitive-информации в HTTP-ответе

• Получение чувствительной информации в HTTPS-ответе

Хранение sensitive-информации

• Хранение sensitive-информации в памяти

• Хранение sensitive-информации в общедоступном файле вне директории приложения

• Хранение sensitive-информации в общедоступном файле внутри директории приложения

• Хранение sensitive-информации в приватном файле вне директории приложения

• Хранение sensitive-информации в приватном файле внутри директории приложения

• Хранение sensitive-информации в общедоступной защищённой базе данных

• Хранение sensitive-информации в защищённой базе данных

• Хранение чувствительной информации в незащищённой базе данных

• Хранение sensitive-информации в общедоступной незащищённой базе данных

• Хранение sensitive-информации в исходном коде приложения

• Хранение или использование ранее найденной sensitive-информации

• Хранение sensitive-информации в кэше клавиатуры

Хранение ключей/сертификатов

• Хранение приватного ключа/сертификата, не защищенного паролем, в директории/ресурсах приложения

• Хранение публичного ключа/сертификата в директории/ресурсах приложения

• Хранение приватного ключа/сертификата, защищенного паролем, в директории/ресурсах приложения

• Хранение сертификата/ключа в директории/ресурсах приложения

Анализ разрешений

• Небезопасный protectionLevel у разрешения

• Неверное пространство имён у разрешения

• У компонента выставлен неверный атрибут вместо android:permission (возможно — android:uses-permission)

• Приложение использует не объявленное разрешение

• Приложение не использует объявленное разрешение

• Небезопасный доступ к Content Provider

• ContentProvider использует одинаковые разрешения на чтение и запись

• Указан небезопасный путь к Content Provider

• Опасные разрешения

• Разрешения и группы разрешений

• Опасные группы разрешений

Прочие

• Вывод sensitive-информации в системный лог

• Небезопасный алгоритм подписи

• Недостаточная длина ключа подписи

• Передача sensitive-информации в BroadcastReceiver

• Передача sensitive-информации в Private BroadcastReceiver

• Передача sensitive-информации в параметрах SQL-запроса

• Возможность создания резервной копии приложения

• Приложение не обфусцировано

• Слабый пароль шифрования базы данных

• Перехват пароля шифрования базы данных

• Приложение разрешает сетевые соединения по протоколу HTTP

• Небезопасная конфигурация сетевого взаимодействия

• Потенциальное выполнение произвольного кода в контексте приложения

• Хранение значений Cookies в стандартной базе WebView

• Небезопасные настройки в AndroidManifest.xml

• Небезопасные настройки в AndroidManifest.xml. Флаг android:hasFragileUserData

• Небезопасные настройки в AndroidManifest.xml. Флаг android:requestLegacyExternalStorage

• Отсутствует или некорректно реализован SSL-pinning

• Возможность опосредованного запуска приватных Activity

• Возможность подмены URL

• Возможность открытия произвольных данных в контексте WebView

• Возможность получения доступа к произвольному файлу

• Возможность получения доступа к произвольному ContentProvider

• Возможность доступа к произвольному файлу через ContentProvider

• Отсутствие проверки на root-доступ

• Отсутствие проверки на запуск на эмуляторе

• Отсутствие проверки целостности приложения

• Недостаточная проверка на запуск на эмуляторе

• Недостаточная проверка на root-доступ

• Перезапись файлов при использовании публичных архивов

• Path/directory traversal

• SQL-инъекция в ContentProvider

• Произвольные данные вставляются в ContentProvider

• Произвольные данные обновляются в ContentProvider

• Потенциально чувствительная информация, найденная энтропийным анализом

• Включение sensitive-информации в сообщения WebSocket

• Возможность перезаписи файлов в приватной директории приложения при работе с zip-архивами

• Хранение данных от сторонних сервисов в открытом виде

• Возможна атака на цепочку поставок через атаку MavenGate

• Возможна атака на цепочку поставок через атаку MavenGate (домен обновлен)

• Экспортированная Activity

• Экспортированный Service

• Экспортированный Content Provider

• Уязвимая навигация в Android Jetpack navigation

• Доступ к произвольному фрагменту с помощью интента

• Ошибка в приложении при работе через IPC

• Возможность запуска произвольной Активности через Intent

• Данные из EditText попадают в WebView.loadurl()

• Данные из сторонних источников формируют SQL-выражение

• Данные из сторонних источников могут попасть в WebView JS

• Данные из сторонних источников формируют Intent

• Данные из сторонних источников используются в FileResolver

• Данные из сторонних источников могут привести к RCE

• Данные из EditText попадают в файл

• Небезопасное использование криптографических алгоритмов

• Возможность посылки произвольного широковещательного сообщения через Intent

• Возможность запуска произвольного Service через Intent

• Запись в произвольный файл через ContentResolver

• Стороннее приложение может удалить данные в ContentProvider

• Получение данных из ContentProvider

• Экспортированный Broadcast Receiver

• Неверные параметры для алгоритма генерации ключа

• Использован уязвимый алгоритм хеширования

• Использование слабого ключа шифрования

• Простой вектор инициализации (IV)

• Использована трансформация ECB для шифрования данных, превышающих размер блока

• Использована уязвимая трансформация

• Использование слова в качестве соли

• Использование соли с низкой энтропией

• Возможно отсутствует проверка на отладчик

• Возможно отсутствует проверка на Frida

• Приложение осуществляет сетевое взаимодействие по протоколу HTTP

• Приложение использует запрещенные разрешения

• Построен граф для трасс вызовов

• Обнаружены изменения в трассах вызовов

• Нет изменений в трассах вызовов

• Приложение использует уязвимую compose-навигацию

• Обнаружены расхождения между сравниваемыми версиями приложения

• Обнаружены «внутренние домены», доступные извне
• Обнаружены «внутренние домены», заданные для поиска
• Сравниваемые версии приложения идентичны
• SCA. Список компонентов
• Обнаружены домены из публичного списка malware
• Обнаружены домены из списка, опубликованного Роскомнадзором
• Уязвимость в OpenSource компоненте
• Приложение использует Android KeyStore, но не проверяет, что ключ аппаратно защищён (Hardware-Backed)
• Доступ к ключам из AndroidKeyStore без требования аутентификации
• Ключи в AndroidKeyStore создаются без требования биометрической инвалидации
• Отстуствует проверка блокировки экрана

Рекомендации для iOS

Хранение ключей/сертификатов

• Хранение сертификата/ключа в директории/ресурсах приложения

• Хранение приватного ключа/сертификата, защищенного паролем, в директории/ресурсах приложения

• Хранение публичного ключа/сертификата в директории/ресурсах приложения

• Хранение приватного ключа/сертификата, не защищенного паролем, в директории/ресурсах приложения

Небезопасное хранение ключевой информации

• Доступное на запись хранилище ключей

• Доступное на запись хранилище ключей со слабым паролем

• Доступное на чтение файловое хранилище ключей

• Доступное на чтение хранилище ключей со слабым паролем, содержащее закрытые ключи

• Доступное на чтение хранилище ключей со слабым паролем, содержащее открытые ключи

• Доступное на чтение хранилище ключей с приватными ключами, защищёнными слабым паролем

• Использование файлового хранилища ключей

• Хранилище ключей со слабым паролем, содержащее закрытые ключи

• Хранилище ключей со слабым паролем, содержащее открытые ключи

• Хранилище ключей с приватными ключами, защищёнными слабым паролем

Прочие

• Включенное кэширование сетевых запросов

• Вывод sensitive-информации в системный лог

• Небезопасная конфигурация App Transport Security

• Приложение не использует функции защиты от переполнений

• Наличие скриптов сборки в собранном пакете приложения

• Наличие файла со списком сторонних зависимостей в собранном пакете приложения

• Хранение sensitive-информации в кэше клавиатуры

• Хранение sensitive-информации в NSUserDefaults

• Хранение sensitive-информации в приватном файле

• Хранение sensitive-информации в исходном коде приложения

• Хранение чувствительной информации в Binary Cookies

• Хранение sensitive-информации в KeyChain

• Небезопасный класс защиты данных для элемента KeyChain

• Хранение или использование ранее найденной чувствительной информации

• Приложение не запрещает использование пользовательских клавиатур

• Потенциально чувствительная информация, найденная энтропийным анализом

• Чувствительная информация в исполняемом файле

• Хранение данных от сторонних сервисов в открытом виде

• Построен граф для трасс вызовов

• Обнаружены изменения в трассах вызовов

• Нет изменений в трассах вызовов

• Обнаружены «внутренние домены», доступные извне

• Обнаружены «внутренние домены», заданные для поиска
• SCA. Список компонентов
• Обнаружены домены из публичного списка malware
• Обнаружены домены из реестров Роскомнадзора
• Уязвимость в OpenSource компоненте (iOS)