MobileConf2013 - Desenvolvimento Mobile Seguro

Desenvolvimento Mobile Seguro

Augusto [email protected]

Segundo a proposta da OWASP

Motivação

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=u7yJBSdbFFIAsM&tbnid=Emj_8hL-D_PxlM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.gsmnation.com%2Fblog%2F2012%2F12%2F28%2Fhow-to-root-your-android-smartphone%2F&ei=CFRZUqnHFKfa4APdxIGIBg&bvm=bv.53899372,d.eWU&psig=AFQjCNHNKaekmu8dFU8if239rhYN8qPhsg&ust=1381672300144516

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=czFQmxnXNK0P0M&tbnid=2W3i86VX9G1rpM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.mobilemag.com%2F2011%2F06%2F21%2Ffastsn0w-jailbreak-and-unlock-tool-for-iphone-released-untethered%2F&ei=mFVZUqrrHY_K4AOhv4GoDg&psig=AFQjCNFZrGBdUoqam-jcYXe_vrzWBKH2Yg&ust=1381672635454172

Quais os problemas?

Owasp top ten mobile risks

Uma proposta...

https://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=As0qnMGzvAdU5M&tbnid=1tk6Mwnwcn-WZM:&ved=0CAUQjRw&url=https%3A%2F%2Fwww.owasp.org%2Findex.php%2FOWASP_Top_10_2010_AppSecDC&ei=avtaUr4I78LgA5atgIgP&bvm=bv.53899372,d.eW0&psig=AFQjCNEqz2d_ElMLIuEx2PPOv1hUhXHmlw&ust=1381780707654776

/mnt/sdcard SQLITE_INSEGURO.db

Armazenamento inseguro dos dados

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=H87COsJCjbCTBM&tbnid=YVmFKY6DzuWlFM:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.oneclickroot.com%2Froot-android%2Ftop-5-things-to-do-after-rooting-your-android%2F&ei=m1xZUt3xK6L84APJu4CACQ&bvm=bv.53899372,d.eWU&psig=AFQjCNFeh_ViBZ3GQKw-LtZsW0cX7YzXHA&ust=1381674342203878

AndroidManifest.xml

Client side injection

Aplicativo Package Play

Client Side Injection

android:exported="true"

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=DRWwyS20tVUkPM&tbnid=wzjEuhYYWhJKiM:&ved=0CAUQjRw&url=http%3A%2F%2Fgraphicsheat.com%2Fwallpapers-for-android%2F&ei=sV1ZUraGFPXd4APLnoCoCg&bvm=bv.53899372,d.eWU&psig=AFQjCNH0nV84NU-TJvyp9PRLFfRtuFiLhA&ust=1381674786013015

Exposição de dados por terceiros

... uma opção

Exposição de dados por terceiros

Proteção ineficiente no transporte dos dados

Vamos então ao socket SSL ....

Proteção ineficiente no transporte dos dados

Fornecimento de informações sensíveis

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=1FtS--quDoVjiM&tbnid=tPztUv-uRIHjgM:&ved=0CAUQjRw&url=http%3A%2F%2Fsweetlittletips.com%2Findex.php%2F%3Fp%3D21435&ei=u2VZUrn3HZi54APi1oGADA&bvm=bv.53899372,d.dmg&psig=AFQjCNH-ZzPpvzaamrxlg1AjB_Cb3ReIdg&ust=1381676844147329

Dados sensíveis capturados por inputs inseguros

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=Avdh2pwClyNpDM&tbnid=YtxdVo-MCuG75M:&ved=0CAUQjRw&url=http%3A%2F%2Fwww.letrap.com.ar%2Fblog%2F2012%2F12%2F04%2Fel-sms-cumplio-20-anos%2F&ei=sHRZUqboDNLF4AOwkIGIDw&bvm=bv.53899372,d.dmg&psig=AFQjCNGQJ_tye9wwXhGXy87VAE8ppol0GA&ust=1381680616433325

/data/system/accounts.db

Controles de autorização e autenticação fracos

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=6gZAht1m4ieUwM&tbnid=UqJjEfdCg0JEsM:&ved=0CAUQjRw&url=http%3A%2F%2Fadrenaline.uol.com.br%2Fbiblioteca%2Fanalise%2F408%2Fkaspersky-mobile-security-9.html&ei=cXhZUobTKeLE4AOBp4GIAQ&bvm=bv.53899372,d.dmg&psig=AFQjCNGe8TGnM_nYN274lp_UYFL-HZ26mg&ust=1381681559902110

Problema

md5(sha1(password))

md5(md5(salt) +

md5(password))

sha1(sha1(password))

Isso não resolve!!!!!

Criptografia Fraca

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=NEmXt8aijWHpPM&tbnid=EJk4sUk_LmBOdM:&ved=0CAUQjRw&url=http%3A%2F%2Folhardigital.uol.com.br%2Fnoticia%2F37342%2F37342&ei=O3lZUt_kHIjE4AObiYDoDQ&psig=AFQjCNEtSEmpDQarYoFhzzntzvMYuQ7yOA&ust=1381681777639379

Controles frágeis do lado servidor

http://www.google.com.br/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=IRvHAEwTTYfmjM&tbnid=R1s8B7Fvqo9hvM:&ved=0CAUQjRw&url=http%3A%2F%2Faxelgrael.blogspot.com%2F2011%2F02%2Fpesquisa-por-que-as-pessoas.html&ei=BXxZUvbGNun-4AP75YHIBg&bvm=bv.53899372,d.dmg&psig=AFQjCNHXFywzej20exQLNkTT-Pq-VBdSbw&ust=1381682521167338

Captura de Sessão

Para desenvolver um aplicativo seguro, não

basta utilizar as melhores tecnologias; não

basta ser excelente tecnicamente se você não

estiver conectado ao negócio e entender quais

os impactos negativos para imagem do seu

produto, caso uma vulnerabilidade seja

explorada com sucesso.

Para finalizar

Obrigado!

Augusto [email protected]

Technology

MobileConf2013 - Desenvolvimento Mobile Seguro