OASAM-CONF-001: Unrestricted debugging

Descripción
Cuando se desarrolla una aplicación es habitual establecer el modo de depuración para obtener información acerca de su funcionamiento. No obstante este modo debe deshabilitarse en las aplicaciones en producción.
 

Riesgos
La aplicación en modo de depuración proporciona información al atacante que le puede ayudar a centrar ataques sobre la misma.
Recomendaciones
Se recomienda establecer en el fichero AndroidManifest.xml la opción de debug a falso o en su defecto eliminarla, ya que por defecto una aplicación no está en modo de depuración.


Referencias
1. Debug Code Enabled de “Smartphone apps are not that smart: Insecure Development Practices by Vulnex”
2. http://developer.android.com/guide/topics/manifest/application-element.html
3. DRD10-J. Do not release apps that are debuggable - https://www.securecoding.cert.org/confluence/display/java/DRD10-J.+Do+not+release+apps+that+are+debuggable