Uma Abordagem para Testes de Segurança em Aplicações Android
Resumo
Como qualquer outro software, aplicações no sistema operacional Android podem apresentar vulnerabilidades comprometedoras, como as elencadas pelo OWASP Mobile Top 10. Mesmo com os esforços de profissionais de segurança, ainda é difícil encontrar documentações padronizadas das técnicas utilizadas para que testadores de software possam reproduzi-las. Por esse motivo, se faz necessária a aplicação de uma metodologia de testes de segurança que tenha uma formalização, e a ISO 829 foi escolhida para isso neste artigo, junto com guias de verificação OWASP: MASVS e MASTG. Os testes abordam especialmente os contextos estático e dinâmico, para averiguar a existência dessas vulnerabilidades. Com a análise de cada vulnerabilidade, foi possível notar que boa parte delas eram causadas por más práticas de programação, as quais podem ser corrigidas seguindo recomendações de um guia da OWASP especializado em boas práticas de desenvolvimento de código.
Referências
Aljabri, M., Aldossary, M., Al-Homeed, N., Alhetelah, B., Althubiany, M., Alotaibi, O., and Alsaqer, S. (2022). Testing and exploiting tools to improve owasp top ten security vulnerabilities detection. In 2022 14th International Conference on Computational Intelligence and Communication Networks (CICN), pages 797–803. IEEE.
Grossman, J., Eng, C., Spitler, R., and Wood, M. (2009). Static dynamic analysis for web applications. [link].
IEEE (2008). IEEE standard for software test documentation. IEEE 829:2008.
Kohli, N. and Mohaghegh, M. (2020). Security testing of android based covid tracer applications. In 2020 IEEE Asia-Pacific Conference on Computer Science and Data Engineering (CSDE), pages 1–6. IEEE.
Manico, J. and et al., J. M. (2023). Owasp cheat sheet series. [link]. Acessado: 2023-06-21.
OWASP (2022). Owasp mobile application security testing guide (mastg). [link]. Acessado: 2023-06-21.
OWASP (2023). Owasp mobile application security verification standard (masvs). [link]. Acessado: 2023-06-21.
Priambodo, D. F., Ajie, G. S., Rahman, H. A., Nugraha, A. C. F., Rachmawati, A., and Avianti, M. R. (2022). Mobile health application security assesment based on owasp top 10 mobile vulnerabilities. In 2022 International Conference on Information Technology Systems and Innovation (ICITSI), pages 25–29. IEEE.
Silva, L. O. (2022). Testes de segurança em aplicações android baseados na metodologia owasp. Repositório Institucional da Universidade Federal do Ceará - UFC.