MASWE-0018: 加密密钥访问未受限制
占位符漏洞
此缺陷尚未创建,它是一个占位符。但您可以检查其状态或自行开始处理。如果此问题尚未分配,您可以请求分配给自己,并按照我们的指南提交包含该缺陷新内容的 PR。
初始描述或提示¶
确保加密密钥仅在严格条件下(例如,当设备由经过身份验证的用户解锁时、在安全应用程序上下文中、绑定到当前设备或在有限时间内)可访问,对于维护加密数据的机密性和完整性至关重要。
相关主题¶
- 来自后台进程
- 锁定的设备 (iOS kSecAttrAccessibleWhenUnlockedThisDeviceOnly, Android setUnlockedDeviceRequired)
- 设备绑定或不可转移 (iOS ThisDeviceOnly)
- 基于时间的访问(持续时间)
- 要求用户在场
- 应用程序专用密码
- 生物识别认证
- 密钥使用受限,例如要求通过生物识别、用户在场进行用户认证。
- 特别是针对敏感操作
- 密钥在一段时间内或针对特定的加密操作等受到限制/授权。
参考资料¶
- https://developer.android.com.cn/reference/android/security/keystore/KeyGenParameterSpec.Builder#setUnlockedDeviceRequired(boolean)
- https://developer.apple.com/documentation/security/ksecattraccessiblewhenunlockedthisdeviceonly
- https://developer.android.com.cn/training/sign-in/biometric-auth#prompt-the-user-to-authenticate-with-biometrics
- https://developer.apple.com/documentation/security/restricting-keychain-item-accessibility
MASTG v1 覆盖范围¶
MASTG v1 中没有与此弱点相关的测试。