Uma Abordagem para Testes de Segurança em Aplicações Android

  • Leonardo O. Silva UFC
  • Emanuel B. Rodrigues UFC
  • Ismayle de S. Santos UECE
DOI: https://doi.org/10.5753/sbseg_estendido.2023.235119

Resumo


Como qualquer outro software, aplicações no sistema operacional Android podem apresentar vulnerabilidades comprometedoras, como as elencadas pelo OWASP Mobile Top 10. Mesmo com os esforços de profissionais de segurança, ainda é difícil encontrar documentações padronizadas das técnicas utilizadas para que testadores de software possam reproduzi-las. Por esse motivo, se faz necessária a aplicação de uma metodologia de testes de segurança que tenha uma formalização, e a ISO 829 foi escolhida para isso neste artigo, junto com guias de verificação OWASP: MASVS e MASTG. Os testes abordam especialmente os contextos estático e dinâmico, para averiguar a existência dessas vulnerabilidades. Com a análise de cada vulnerabilidade, foi possível notar que boa parte delas eram causadas por más práticas de programação, as quais podem ser corrigidas seguindo recomendações de um guia da OWASP especializado em boas práticas de desenvolvimento de código.

Referências

Alanda, A., Satria, D., Mooduto, H., and Kurniawan, B. (2020). Mobile application security penetration testing based on owasp. In IOP Conference Series: Materials Science and Engineering, volume 846, page 012036. IOP Publishing.

Aljabri, M., Aldossary, M., Al-Homeed, N., Alhetelah, B., Althubiany, M., Alotaibi, O., and Alsaqer, S. (2022). Testing and exploiting tools to improve owasp top ten security vulnerabilities detection. In 2022 14th International Conference on Computational Intelligence and Communication Networks (CICN), pages 797–803. IEEE.

Grossman, J., Eng, C., Spitler, R., and Wood, M. (2009). Static dynamic analysis for web applications. [link].

IEEE (2008). IEEE standard for software test documentation. IEEE 829:2008.

Kohli, N. and Mohaghegh, M. (2020). Security testing of android based covid tracer applications. In 2020 IEEE Asia-Pacific Conference on Computer Science and Data Engineering (CSDE), pages 1–6. IEEE.

Manico, J. and et al., J. M. (2023). Owasp cheat sheet series. [link]. Acessado: 2023-06-21.

OWASP (2022). Owasp mobile application security testing guide (mastg). [link]. Acessado: 2023-06-21.

OWASP (2023). Owasp mobile application security verification standard (masvs). [link]. Acessado: 2023-06-21.

Priambodo, D. F., Ajie, G. S., Rahman, H. A., Nugraha, A. C. F., Rachmawati, A., and Avianti, M. R. (2022). Mobile health application security assesment based on owasp top 10 mobile vulnerabilities. In 2022 International Conference on Information Technology Systems and Innovation (ICITSI), pages 25–29. IEEE.

Silva, L. O. (2022). Testes de segurança em aplicações android baseados na metodologia owasp. Repositório Institucional da Universidade Federal do Ceará - UFC.
Publicado
18/09/2023
Como Citar

Selecione um Formato
SILVA, Leonardo O.; RODRIGUES, Emanuel B.; SANTOS, Ismayle de S.. Uma Abordagem para Testes de Segurança em Aplicações Android. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 23. , 2023, Juiz de Fora/MG. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2023 . p. 225-236. DOI: https://doi.org/10.5753/sbseg_estendido.2023.235119.

Artigos mais lidos do(s) mesmo(s) autor(es)