MASTG-TEST-0205: 非随机源使用

概述

Android应用程序有时使用非随机源来生成“随机”值，这可能导致潜在的安全漏洞。常见的做法包括依赖当前时间，例如 Date().getTime()，或者访问 Calendar.MILLISECOND 来生成容易猜测和重现的值。

步骤

1. 在应用程序上运行静态分析 ( Android上的静态分析) 工具，并查找非随机源的使用情况。

观察

输出应包含使用非随机源的位置列表。

评估

如果您可以找到使用非随机源生成的与安全相关的数值（例如密码或令牌），则测试用例失败。

缓解措施

• 使用安全的随机数生成器API

演示

MASTG-DEMO-0008：非随机源的使用