不安全なデータ保存について学びます。
不安全なデータ保存は、OWASP Top Ten 2016の2番目のカテゴリに含まれます。
不安全なデータ保存の脆弱性は、開発チームがユーザーやマルウェアがモバイルデバイスのファイルシステムにアクセスできないと仮定し、結果として機密情報がデバイスのデータベースに保存されるときに発生します。
たとえば、あるアプリケーションがあるとしましょう。この特定のアプリケーションにはログイン機能があり、アプリケーションに登録する際に、ユーザー名とパスワードがSQLiteデータベースファイルに保存されます。このファイルはモバイルデバイスのシステムまたはファイルシステムに保存されています。
開発者はここで、ユーザーはこのモバイルデバイスのファイルシステムにアクセスできず、機密情報を取得できないと考えています。しかし、これは真実ではありません。攻撃者やマルウェアはファイルシステムへのアクセス権を持っており、データが攻撃者やマルウェアによって保持されると、特定のアプリケーションにアクセスすることは非常に簡単です。この全体のシナリオが不安全なデータ保存の一例です。
他にも、データはログファイルに安全に保存される場合もあります。また、Firebaseの例もあります。Firebaseデータベースの不適切な認証がある場合、それも不安全なデータ保存に含まれる可能性があります。それではデモの時間です。脆弱なアプリケーションを見つけ、その中で不安なデータ保存を見つける方法を見てみましょう。
