Os aplicativos Android podem ser configurados para produzir binários de depuração. Esses binários fornecem mensagens de depuração detalhadas e não devem ser usados em ambientes de produção. O atributo debuggable da tag <application> define se os binários compilados devem incluir informações de depuração.

O uso de binários de depuração faz com que um aplicativo forneça ao usuário o máximo de informações possível sobre si mesmo. Os binários de depuração devem ser usados em um ambiente de desenvolvimento ou teste e podem representar um risco de segurança se forem implantados em produção. Os invasores podem aproveitar as informações adicionais adquiridas com a saída de depuração para prepararem ataques direcionados no banco de dados da infraestrutura ou a outros recursos usados pelo aplicativo.

Violações de privacidade ocorrem quando:

1. Informações privadas de usuários entram no programa.

2. Os dados são gravados em um local externo, como o console, o sistema de arquivos ou a rede.
Exemplo 1: O código a seguir contém uma instrução de log que rastreia os registros adicionados a um banco de dados, armazenando o conteúdo em um arquivo de log.

pass = getPassword();
...
dbmsLog.println(id+":"+pass+":"+type+":"+tstamp);

O código no Example 1 registra uma senha de texto sem formatação no sistema de arquivos. Embora muitos desenvolvedores confiem no log de eventos como um local de armazenamento seguro para os dados, ele não deve ser confiado de forma implícita, especialmente quando a privacidade é uma preocupação.

A privacidade é uma das maiores preocupações no mundo móvel por alguns motivos. Um deles é uma chance muito maior de perda do dispositivo. O outro tem a ver com a comunicação entre processos de aplicativos móveis. Com plataformas móveis, os aplicativos são baixados de várias fontes e são executados lado a lado no mesmo dispositivo. A probabilidade de execução de um malware junto com um aplicativo de banco é alta e é por isso que os autores de aplicativos precisam ser cuidadosos a respeito de quais informações eles incluem em mensagens endereçadas a outros aplicativos em execução no dispositivo. Informações confidenciais nunca devem fazer parte da comunicação entre processos de aplicativos móveis.

Exemplo 2: O código a seguir lê o nome de usuário e a senha de um determinado site em um repositório WebView do Android e os transmite a todos os receptores registrados.

...
webview.setWebViewClient(new WebViewClient() {
  public void onReceivedHttpAuthRequest(WebView view,
        HttpAuthHandler handler, String host, String realm) {
    String[] credentials = view.getHttpAuthUsernamePassword(host, realm);
    String username = credentials[0];
    String password = credentials[1];
    Intent i = new Intent();
    i.setAction("SEND_CREDENTIALS");
    i.putExtra("username", username);
    i.putExtra("password", password);
    view.getContext().sendBroadcast(i);
  }
});
...

Esse exemplo demonstra vários problemas. Em primeiro lugar, por padrão, credenciais WebView são armazenadas em texto sem formatação e não estão em hash. Se um usuário tiver um dispositivo raiz (ou usar um emulador), ele poderá ler senhas armazenadas para sites específicos. Em segundo lugar, credenciais de texto sem formatação são transmitidas para todos os receptores registrados, o que significa que qualquer receptor registrado para ouvir intenções com a ação SEND_CREDENTIALS receberá a mensagem. A transmissão nem mesmo é protegida com uma permissão para limitar o número de destinatários, embora, neste caso, não recomendemos o uso de permissões como correção.

Dados privados podem entrar em um programa de várias maneiras:

- Diretamente do usuário em formato de senha ou informações pessoais

- Acessados a partir de um banco de dados ou outro repositório de dados pelo aplicativo

- Indiretamente de um parceiro ou de terceiros

Normalmente, no contexto do ambiente móvel, essas informações privadas incluem (juntamente com senhas, SSNs e outras informações pessoais gerais):

- Localização

- Número do celular

- Números de série e IDs de dispositivo

- Informações sobre a operadora de rede

- Informações de correio de voz


Às vezes, dados não rotulados como privados podem ter uma implicação de privacidade em um contexto diferente. Por exemplo, números de identificação de aluno geralmente não são considerados privados, pois não há um mapeamento explícito e publicamente disponível para as informações pessoais de um aluno individual. No entanto, se uma escola gerar números de identificação com base em números de segurança social de alunos, esses números de identificação deverão ser considerados privados.

Preocupações de segurança e privacidade muitas vezes parecem competir umas com as outras. Sob o ponto de vista da segurança, você deve registrar todas as operações importantes para que qualquer atividade anormal possa ser identificada mais tarde. No entanto, quando dados privados estão envolvidos, essa prática pode gerar riscos.

Embora existam muitas maneiras de manipular dados privados sem segurança, um risco comum está relacionado a equívocos de confiança. Os programadores muitas vezes confiam no ambiente operacional em que um programa é executado e, portanto, julgam aceitável armazenar informações privadas no sistema de arquivos, no registro ou em outros recursos localmente controlados. No entanto, mesmo se o acesso a determinados recursos for restrito, isso não garante que os indivíduos que possuem esse acesso possam ser confiáveis. Por exemplo, em 2004, um funcionário sem escrúpulos da AOL vendeu cerca de 92 milhões de endereços de email privados de clientes para um remetente de spam que comercializava um site de jogatina em atividade fora do país [1].

Em resposta a tais explorações notórias, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Dependendo da sua localização, do tipo de negócios administrado e da natureza de quaisquer dados privados que ela manipule, uma organização pode ser obrigada a cumprir uma ou mais das seguintes normas federais e estaduais:

- Safe Harbor Privacy Framework [3]

- Gramm-Leach Bliley Act (GLBA) [4]

- Health Insurance Portability and Accountability Act (HIPAA) [5]

- California SB-1386 [6]

Apesar dessas normas, violações de privacidade continuam a ocorrer com uma frequência alarmante.

Vulnerabilidades de injeção de string de consulta ocorrem quando:
1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma string de consulta SimpleDB.

Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta select() SimpleDB que procura faturas correspondentes a uma categoria de produto especificada pelo usuário. O usuário também pode especificar a coluna pela qual os resultados são classificados. Suponha que o aplicativo já tenha sido devidamente autenticado e defina o valor de customerID antes desse segmento de código.

...
String customerID = getAuthenticatedCustomerID(customerName, customerCredentials);
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
String query = "select * from invoices where productCategory = '"
            + productCategory + "' and customerID = '"
            + customerID + "' order by '"
            + sortColumn + "' asc";
SelectResult sdbResult = sdbc.select(new SelectRequest(query));
...

A consulta que esse código pretende executar se parece com a seguinte:

select * from invoices
where productCategory = 'Fax Machines'
and customerID = '12345678'
order by 'price' asc

No entanto, como a consulta é construída dinamicamente por meio da concatenação de uma string de consulta base constante e de uma string de entrada do usuário, ela apenas se comportará corretamente se productCategory e price não contiverem caracteres de aspas simples. Porém, se um invasor fornecer a string "Fax Machines' or productCategory = \"" para productCategory e a string "\" order by 'price" para sortColumn, a consulta se tornará a seguinte:

select * from invoices
where productCategory = 'Fax Machines' or productCategory = "'
and customerID = '12345678'
order by '" order by 'price' asc

ou, de uma forma mais legível,

select * from invoices
where productCategory = 'Fax Machines'
or productCategory = "' and customerID = '12345678' order by '"
order by 'price' asc

Essas entradas permitem que um invasor ignore a autenticação necessária para customerID e permite que ele veja registros de faturas correspondentes a 'Fax Machines' para todos os clientes.

Vulnerabilidades de injeção de string de consulta ocorrem quando:
1. Os dados entram em um programa por uma fonte não confiável.



Nesse caso, o Fortify Static Code Analyzer não conseguiu determinar se a fonte dos dados é confiável.

2. Os dados são usados para construir dinamicamente uma consulta SQLite.

A injeção de strings de consulta SQLite permite que usuários mal-intencionados visualizem registros não autorizados, mas não permite que eles alterem o estado do banco de dados de qualquer maneira.

Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta SQLite que procura faturas associadas a um cliente e uma categoria de produto especificada pelo usuário. O usuário também pode especificar a coluna pela qual os resultados devem ser classificados. Suponha que o programa já tenha sido devidamente autenticado e defina o valor de customerID antes desse segmento de código.

  ...
  productCategory = this.getIntent().getExtras().getString("productCategory");
  sortColumn = this.getIntent().getExtras().getString("sortColumn");
  customerID = getAuthenticatedCustomerID(customerName, customerCredentials);
  c = invoicesDB.query(Uri.parse(invoices), columns, "productCategory = '" + productCategory + "' and customerID = '" + customerID + "'", null, null, null, "'" + sortColumn + "'asc", null);
  ...
  

A consulta que esse código pretende executar se parece com a seguinte:

  select * from invoices
  where productCategory = 'Fax Machines'
  and customerID = '12345678'
  order by 'price' asc
  

No entanto, a consulta é construída dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário productCategory. Portanto, ela se comportará corretamente somente se productCategory e sortColumn não contiverem caracteres de aspas simples. Se um invasor fornecer a string "Fax Machines' or productCategory = \"" para productCategory e a string "\" order by 'price" para sortColumn, a consulta se tornará:

  select * from invoices
  where productCategory = 'Fax Machines' or productCategory = "'
  and customerID = '12345678'
  order by '" order by 'price' asc
  

ou, de maneira mais legível,

  select * from invoices
  where productCategory = 'Fax Machines'
  or productCategory = "' and customerID = '12345678' order by '"
  order by 'price' asc
  

Essas entradas permitem que um invasor ignore a autenticação necessária para customerID e permite que ele veja registros de faturas correspondentes a 'Fax Machines' para todos os clientes.