MASWE-0104: 应用完整性未验证

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个占位符。但您可以查看其状态或自行着手处理。如果此问题尚未分配，您可以请求分配给自己，并通过遵循我们的指南提交包含该弱点新内容的PR（Pull Request）。

查看我们GitHub上关于MASWE-0104的问题

初始描述或提示

应用的自身代码未实现有效的完整性验证技术 (CWE-347)，这可能与替代应用商店（非 Google PlayStore 或 Apple AppStore）中的应用相关。例如，仅使用 Android V1 签名方案或 iOS CodeDirectory 版本低于 20400。例如，应用签名或二进制文件、原生库（包括 AppAttest）等。

注意：是否考虑静态代码修改？/ 未实现重打包检测

相关主题

• 运行时应用签名或二进制文件检查
• 原生库，包括例如 AppAttest
• 无效的应用签名证书
• 未使用最新可用签名方案 - 仅限 Android V1 签名方案
• 未使用最新可用签名方案 - iOS CodeDirectory 版本低于 20400
• 已实施检测
• 有效性评估（例如，绕过检测）

参考资料

• https://developer.apple.com/documentation/xcode/using-the-latest-code-signature-format

MASTG v1 覆盖范围

• MASTG-TEST-0038 - 确保应用已正确签名 (Android)
• MASTG-TEST-0081 - 确保应用已正确签名 (iOS)

测试

MASTG-TEST-0224: 使用不安全的签名版本 MASTG-TEST-0225: 使用不安全的签名密钥大小 MASTG-TEST-0220: 使用过时的代码签名格式