Данные авторизации отправляются на сервер в не зашифрованном виде

[levvolkov]

Описание

При авторизации в приложении данные (логин и пароль) отправляются на сервер в незашифрованном виде через HTTP-запрос. Это создает высокий риск компрометации учетных данных пользователей, особенно при использовании общедоступных или небезопасных сетей.

Шаги воспроизведения

1. Запустите приложение на эмуляторе в Android Studio.
2. Перейдите к экрану авторизации.
3. Введите любые учетные данные в поле Login (например: login2).
4. Введите любые учетные данные в поле Password (например: password2).
5. Нажмите кнопку SIGN IN для входа в систему.
6. Откройте логи (например, используя инструменты, такие как Logcat в Android Studio) и найдите запрос на авторизацию.

Ожидаемый результат: Данные авторизации (логин и пароль) должны передаваться на сервер в зашифрованном виде.

Фактический результат: Данные передаются открытым текстом, что делает их уязвимыми для перехвата и злоумышленного доступа.

Приоритет: Высокий.
Серьезность: Высокая.

Логи

2025-01-30 23:07:34.384  9825-9902  okhttp.OkHttpClient     ru.iteco.fmhandroid                  I  --> POST https://students.netoservices.ru/qamid-diplom-backend/authentication/login
2025-01-30 23:07:34.384  9825-9902  okhttp.OkHttpClient     ru.iteco.fmhandroid                  I  Content-Type: application/json; charset=UTF-8
2025-01-30 23:07:34.384  9825-9902  okhttp.OkHttpClient     ru.iteco.fmhandroid                  I  Content-Length: 41
2025-01-30 23:07:34.384  9825-9902  okhttp.OkHttpClient     ru.iteco.fmhandroid                  I  {"login":"login2","password":"password2"}
2025-01-30 23:07:34.384  9825-9902  okhttp.OkHttpClient     ru.iteco.fmhandroid                  I  --> END POST (41-byte body)

Окружение

• Android Studio: Ladybug | 2024.2.1 Patch 3
• Операционная система: macOS Sequoia 15.1
• Эмулятор: Pixel 7 API 29