Segurança da informação em aplicativos móveis – Introdução

smartphone

A preocupação com segurança da informação vem se tornando mais presente em nosso dia a dia. Notícias de ataques estão cada vez mais comuns como invasão à Sony, invasão à sistema de carros conectados, Ransomwares, DDoS com a utilização de dispositivos conectados à internet, entre outros. Isso mostra que os ataques estão acompanhando a evolução das tecnologias. E com  a Internet das Coisas cada vez mais presente, é imprescindível considerarmos a questão da segurança da informação. Tendo em vista este cenário, vamos iniciar uma série de posts sobre segurança da informação começando com aplicativos móveis.

As más práticas de armazenamento de dados, malware, acessos não autorizados e falta de criptografia, podem contribuir para que um aplicativo tenha vulnerabilidades. Nesse contexto,  a OWASP (Open Web Application Security Project) – entidade sem fins lucrativos com o objetivo de melhorar a segurança de softwares através de pesquisa e identificação de riscos de segurança – divulgou o Mobile Top Ten 2016. Este projeto, que ainda está em andamento, é um importante recurso que fornece ao time de desenvolvimento de aplicativos móveis e de segurança as informações necessárias para implementação de produtos mais seguros. Nesse projeto, as vulnerabilidades listadas foram:

  • M1 – Improper Platform Usage: se refere ao uso incorreto da plataforma utilizada, seja com relação aos recursos ou falhas ao utilizar controles de segurança.
  • M2 – Insecure Data Storage: aborda o armazenamento de dados de forma insegura, perda e vazamento de dados sensíveis dos usuários como localização, device ID, informações pessoais, cookies, tokens e etc. A ideia é que os dados sejam armazenados somente se for necessário e, neste caso, tomar medidas de segurança.
  • M3 – Insecure Communication: retrata a questão de utilização de versões incorretas de SSL
  • M4 – Insecure Authentication: se refere à questão de autenticação do usuário e gerenciamento de sessão. Algumas medidas como não usar somente device ID para autenticar, forçar o usuário a criar uma senha forte e não armazená-la no dispositivo são algumas recomendações da OWASP.
  • M5 – Insufficient Cryptography: remete à criptografia das informações sensíveis disponibilizadas pelos usuários, ressaltando o fato de garantir a sua correta aplicação.
  • M6 – Insecure Authorization: esta categoria se refere a tentar identificar falhas na autorização.
  • M7 – Client Code Quality: aborda os problemas de implementação no cliente, como por exemplo identificação de buffer overflows.
  • M8 – Code Tampering: retrata a patchs binários, modificação de recursos locais e modificação de memória dinâmica.
  • M9 – Reverse Engineering: apresenta a possibilidade do atacante, através de engenharia reversa,  ter acesso ao código fonte do aplicativo, podendo identificar e explorar outras vulnerabilidades.
  • M10 – Extraneous Functionality: remete a inclusão de informações que não são destinados a ir para produção, como por exemplo incluir senha ou mesmo desabilitar autenticação durante testes.

Esta foi uma pequena introdução sobre o assunto de segurança de aplicativos móveis que é muito extenso e complexo, com um resumo das 10 vulnerabilidades apontadas pela OWASP. Caso tenha informações complementares ou sugestões, deixe um comentário. 😀
No próximo post vamos falar sobre AndroBugs, que é um framework de análise de vulnerabilidades do android. Aguardem!
Referências

  1. https://github.com/AndroBugs/AndroBugs_Framework
  2. http://www.mcafee.com/br/resources/white-papers/foundstone/wp-pen-testing-android-apps.pdf
  3. https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Talvez você goste desses conteúdos também: