程序請求將數據寫入 Android 外部存儲的權限。
寫入外部存儲的文件可被任意程序與用戶讀寫。程序不可將個人可識別信息等敏感信息寫入外部存儲中。通過 USB 將 Android 設備連接到電腦或其他設備時,就會啟用 USB 海量存儲模式。在此模式下,可以讀取和修改寫入外部存儲的任意文件。此外,即使卸載了寫入文件的應用程序,這些文件仍會保留在外部存儲中,因而提高了敏感信息被盜用的風險。
例 1:AndroidManifest.xml 的 <uses-permission .../%gt; 元素包含了危險屬性。
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A2 Broken Access Control
[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A6 Security Misconfiguration
[3] Standards Mapping - FIPS200 - (FISMA) AC
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3500 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3500 CAT II
[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 265
[7] Data Storage
[8] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Improper Access Control - CWE ID 285
[9] Ruggero Contu, John Girard Put security policies in place for portable storage devices Gartner Research
[10] Using Permissions