跳过内容

MASTG-TEST-0203: 运行时使用日志 API

概述

在 Android 平台上,像 LogLoggerSystem.out.printSystem.err.printjava.lang.Throwable#printStackTrace日志 API 可能会无意中导致敏感信息泄露。日志消息记录在 logcat 中,这是一个共享内存缓冲区,自 Android 4.1(API 级别 16)以来,只有声明了 READ_LOGS 权限的特权系统应用程序才能访问。 尽管如此,庞大的 Android 设备生态系统包括预加载的具有 READ_LOGS 权限的应用程序,从而增加了敏感数据暴露的风险。 因此,通常建议不要直接记录到 logcat,因为它容易发生数据泄露。

步骤

  1. 安装并运行应用程序。
  2. 导航到要分析日志输出的移动应用程序的屏幕。
  3. 执行方法跟踪( 方法跟踪)(例如,使用 Frida for Android)通过连接到正在运行的应用程序,定位日志记录 API 并保存输出。

观察

输出应包含一个列表,其中列出了应用程序当前执行期间使用日志记录 API 的位置。

评估

如果您发现使用这些 API 记录了敏感数据,则测试用例失败。

缓解措施

演示

MASTG-DEMO-0006:跟踪常见的日志记录 API 以查找密钥