MASTG-TEST-0012：测试设备访问安全策略

已弃用测试

此测试已**弃用**，不应再使用。**原因**：MASTG V2 中提供新版本

请查看以下涵盖此 v1 测试的 MASTG v2 测试

• 安全屏幕锁定检测 API 的引用
• 运行时使用安全屏幕锁定检测 API

概述

处理或查询敏感信息的应用程序应在可信且安全的环境中运行。为了创建此环境，应用程序可以检查设备是否存在以下情况

• 受 PIN 或密码保护的设备锁定
• 最新的 Android 操作系统版本
• USB 调试激活
• 设备加密
• 设备 root (另请参阅“测试 Root 检测”)

静态分析

要测试应用程序强制执行的设备访问安全策略，必须提供策略的书面副本。该策略应定义可用的检查及其强制执行。例如，一项检查可能要求应用程序仅在 Android 6.0（API 级别 23）或更高版本上运行，如果 Android 版本低于 6.0，则关闭应用程序或显示警告。

检查源代码中实现该策略的函数，并确定是否可以绕过它。

您可以通过查询 Settings.Secure 获取系统偏好设置，从而在 Android 设备上实现检查。设备管理 API 提供了创建可以强制执行密码策略和设备加密的应用程序的技术。

动态分析

动态分析取决于应用程序强制执行的检查及其预期行为。如果可以绕过检查，则必须对其进行验证。