MASWE-0016：不安全地处理导入的加密密钥

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个 占位符。但您可以检查其状态或自己开始处理。如果问题尚未分配，您可以请求分配给您，并按照我们的 指南 提交包含该弱点新内容的 PR。

检查我们在 GitHub 上关于 MASWE-0016 的议题

初始描述或提示

在未验证其来源或完整性、或使用不安全的自定义密钥交换协议的情况下导入密钥，可能会无意中将恶意或受损的密钥引入应用程序环境。

相关主题

• 从不受信任的来源导入密钥
• 从不受信任的存储导入密钥

参考资料

• https://mas.owasp.ac.cn/MASTG/0x05d-Testing-Data-Storage/#secure-key-import-into-keystore
• https://developer.android.com.cn/privacy-and-security/keystore#ImportingEncryptedKeys
• https://developer.android.com.cn/reference/kotlin/android/security/keystore/KeyProtection
• https://developer.apple.com/documentation/security/certificate_key_and_trust_services/keys/storing_keys_as_data#2933724

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。