OASAM-CONF-008: Improper Activities permissions

Descripción

En esta fase el atacante listará, para cada activity, los permisos necesarios para su invocación. Con esta información es posible conseguir la superficie de ataque desde el entorno de la aplicación y desde fuera de la misma, de manera que el atacante pueda centrar mejor cómo atacará posteriormente a la seguridad de la aplicación.

Por ejemplo una activity que realize funcionalidades que requieran permisos especiales y que pueda ser invocada desde fuera de la aplicación (está exportada) y no requiere permisos, compromete la seguridad porque posibilita que cualquier aplicación del dispositivo la invoque.

Riesgos

El riesgo varía en función de lo sensible que sea la funcionalidad de cada activity.

Recomendaciones

Como norma general, se recomienda requerir permisos en las activities que realizen funcionalidad sensible, especialmente si se trata de Activities exportadas.

Referencias

1. http://developer.android.com/guide/topics/security/permissions.html