MASTG-TEST-0206: 网络流量捕获中的敏感数据
概述¶
攻击者可以使用拦截代理(例如 ZAP、 Burp Suite 或 mitmproxy 来捕获 Android 设备上的网络流量,以分析应用传输的数据。 即使应用使用 HTTPS,也可以这样做,因为攻击者可以在 Android 设备上安装自定义根证书以解密流量。 检查未使用 HTTPS 加密的流量甚至更容易,无需安装自定义根证书即可完成,例如使用 Wireshark。
此测试的目标是验证敏感数据是否未通过网络发送,即使流量已加密。 此测试对于处理敏感数据(例如财务或健康数据)的应用程序尤其重要,应结合审查应用程序的隐私政策和 App Store 隐私声明进行。
步骤¶
- 启动设备。
- 开始记录来自网络流量的敏感数据 ( 从网络流量记录敏感数据)。 例如使用 mitmproxy。
- 启动并使用应用,浏览各种工作流程,并在任何可以的地方输入敏感数据。 特别是,在您知道会触发网络流量的地方。
观察¶
输出应包含网络流量敏感数据日志,其中包含解密的 HTTPS 流量。
评估¶
如果您发现您在应用程序中输入的,未在 App Store 隐私声明中声明的敏感数据,则测试用例失败。
请注意,此测试不提供通过网络发送敏感数据的任何代码位置。 为了确定代码位置,您可以使用静态分析工具(例如 semgrep 或动态分析工具(例如 Frida)。