新版基準中有一項與系統日誌有關,檢測編號及技術要求如下:
4.1.2.3.16. 行動應用程式應避免將敏感性資料儲存或輸出於系統日誌
依照基準4.0中的名詞定義,系統日誌(System Logs)是指作業系統記錄各種事件、錯誤、警告等的日誌文件,用於開發者除錯應用程式、分析系統崩潰問題、以及系統維護。
此檢測項目的技術要求是,當行動應用程式運行時,手機的系統日誌不能存在與該行動應用程式有關的敏感性資料,目的就是希望能確實關閉除錯機制,才不會在系統日誌中洩露重要資訊。
系統日誌的特別之處就是它是作業系統層次的日誌,而不是專屬於特定應用程式的日誌,如打算擷取安卓手機的系統日誌,就會使用到adb logcat指令(圖1),將系統日誌存成檔案test.txt,同時點擊打開送測的行動應用程式進行操作,完成後就可用adb pull指令(圖2)把檔案test.txt匯出至電腦上。
打開test.txt進行查看,發現文件內存有送測的行動應用程式相關資訊,包括手機號碼、電子郵件、生日等敏感性資料(圖3),表示此行動應用程式未妥善關閉除錯機制。
新版基準中有一項與系統日誌有關,檢測編號及技術要求如下:
4.1.2.3.16. 行動應用程式應避免將敏感性資料儲存或輸出於系統日誌
依照基準4.0中的名詞定義,系統日誌(System Logs)是指作業系統記錄各種事件、錯誤、警告等的日誌文件,用於開發者除錯應用程式、分析系統崩潰問題、以及系統維護。
此檢測項目的技術要求是,當行動應用程式運行時,手機的系統日誌不能存在與該行動應用程式有關的敏感性資料,目的就是希望能確實關閉除錯機制,才不會在系統日誌中洩露重要資訊。
系統日誌的特別之處就是它是作業系統層次的日誌,而不是專屬於特定應用程式的日誌,如打算擷取安卓手機的系統日誌,就會使用到adb logcat指令(圖1),將系統日誌存成檔案test.txt,同時點擊打開送測的行動應用程式進行操作,完成後就可用adb pull指令(圖2)把檔案test.txt匯出至電腦上。
打開test.txt進行查看,發現文件內存有送測的行動應用程式相關資訊,包括手機號碼、電子郵件、生日等敏感性資料(圖3),表示此行動應用程式未妥善關閉除錯機制。
近期文章