Android, come faccio a prevenire gli attacchi dei delegati confusi?

2

Nel caso in cui un'app mobile dannosa non disponga delle autorizzazioni appropriate ad es. scarica un file, può richiamare un browser per scaricare sth. Esempi concreti di tale attacco sono mostrati da pagina 27 a pagina 29 in Android Security Architecture . Voglio assicurarmi che la mia applicazione mobile non sia suscettibile a questo tipo di attacco. Quindi la mia domanda è: come faccio a impedire che la mia applicazione mobile venga abusata da un utente malintenzionato per sfruttare l'utente mobile?

Grazie in anticipo.

    
posta My-Name-Is 15.10.2013 - 02:34
fonte

1 risposta

1

La radice del problema del delegato confuso è un'applicazione che esegue un'azione sensibile per conto di un utente malintenzionato.

Nel contesto di un'applicazione Android, è possibile che un'applicazione sia lanciato con argomenti . In questo caso, un argomento potrebbe essere una superficie di attacco che potrebbe essere vulnerabile a qualsiasi tipo di vulnerabilità di convalida dell'input, inclusi gli attacchi delegati confusi. In breve, nessuna app Android dovrebbe fidarsi di questo input o eseguire un'azione elevata per conto del chiamante. Fare così sarebbe una vulnerabilità.

Se un'applicazione Android è una visualizzazione Web, potrebbe essere vulnerabile a XSS, CSRF. Queste due vulnerabilità utilizzano il browser come un delegato confuso e vengono discusse nella confusa pagina dei problemi con il vice-membro sopra.

    
risposta data 17.10.2013 - 20:37
fonte

Leggi altre domande sui tag