mobileconf2013 - desenvolvimento mobile seguro
DESCRIPTION
Apresentação realizada no evento MobileConf 2013 como tema: Desenvolvimento Mobile Seguro segundo a proposta da Owasp.TRANSCRIPT
Motivação
Quais os problemas?
Owasp top ten mobile risks
Uma proposta...
/mnt/sdcard SQLITE_INSEGURO.db
Armazenamento inseguro dos dados
AndroidManifest.xml
Client side injection
Aplicativo Package Play
Client Side Injection
android:exported="true"
Exposição de dados por terceiros
... uma opção
Exposição de dados por terceiros
Proteção ineficiente no transporte dos dados
Vamos então ao socket SSL ....
Proteção ineficiente no transporte dos dados
Fornecimento de informações sensíveis
Dados sensíveis capturados por inputs inseguros
/data/system/accounts.db
Controles de autorização e autenticação fracos
Problema
md5(sha1(password))
md5(md5(salt) +
md5(password))
sha1(sha1(password))
Isso não resolve!!!!!
Criptografia Fraca
Captura de Sessão
Para desenvolver um aplicativo seguro, não
basta utilizar as melhores tecnologias; não
basta ser excelente tecnicamente se você não
estiver conectado ao negócio e entender quais
os impactos negativos para imagem do seu
produto, caso uma vulnerabilidade seja
explorada com sucesso.
Para finalizar
Obrigado!
Augusto [email protected]