MASWE-0046: 生物识别注册新数据时加密密钥未失效

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个占位符。但您可以查看其状态或自行开始处理。如果此问题尚未分配，您可以申请分配给您，并按照我们的指南提交一个包含该弱点新内容的PR。

查看我们关于 MASWE-0046 的 GitHub 问题

初始描述或提示

每当添加新的生物识别注册数据时，生物识别相关的加密密钥应默认失效。

相关主题

• Android 默认启用，但可以通过调用 setInvalidatedByBiometricEnrollment(false) 来禁用。
• iOS 默认禁用，但在设置访问控制时可以使用 SecAccessControlCreateFlags.biometryCurrentSet（之前为 touchIDCurrentSet）来启用（自 iOS 9 起）。这会在添加或移除指纹时使钥匙串项目失效。请参阅 kSecAccessControlTouchIDCurrentSet, biometryCurrentSet。

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。

测试

MASTG-TEST-0271: 检测生物识别注册变更的 API 运行时使用 MASTG-TEST-0270: 检测生物识别注册变更的 API 引用