OASAM-CONF-009: Improper Services permissions

Descripción

En esta fase el atacante listará, para cada service, los permisos necesarios para su invocación. Con esta información es posible conseguir la superficie de ataque desde el entorno de la aplicación y desde fuera de la misma, de manera que el atacante pueda centrar mejor cómo atacará posteriormente a la seguridad de la aplicación.

Por ejemplo un service que realize funcionalidades que requieran permisos especiales y que pueda ser invocada desde fuera de la aplicación (está exportada) y no requiere permisos, compromete la seguridad porque posibilita que cualquier aplicación del dispositivo lo invoque.

Riesgos

El riesgo varía en función de lo sensible que sea la funcionalidad de cada service.

Recomendaciones

Como norma general, se recomienda requerir permisos en los services que realizen funcionalidad sensible, especialmente si se trata de services exportados.

Referencias

1. http://developer.android.com/guide/topics/security/permissions.html