Desenvolvimento
Mobile Seguro
Segundo a proposta da OWASP

Augusto Marinho

augustomarinho@conteudoatual.com.br
Motivação
Quais os problemas?
Uma proposta...

Owasp top ten mobile
risks
Armazenamento inseguro dos dados

/mnt/sdcard

SQLITE_INSEGURO.db
Client Side Injection
AndroidManifest.xml

android:exported="true"

Client side injection

Aplicativo Package Play
Exposição de dados por terceiros
Exposição de dados por terceiros

... uma opção
Proteção ineficiente no transporte dos dados
Vamos então ao socket SSL ....
Proteção ineficiente no transporte dos dados
Fornecimento de informações sensíveis
Dados sensíveis capturados por inputs inseguros
Controles de autorização e autenticação fracos

/data/system/accounts.db
Criptografia Fraca
Problema

Isso não resolve!!!!!
md5(sha1(password))
md5(md5(salt) + md5(password))
sha1(sha1(password))
Controles frágeis do lado servidor
Captura de Sessão
Para finalizar

Para desenvolver um aplicativo seguro, não basta
utilizar as melhores tecnologias; não basta ser excelente...
Obrigado!
Augusto Marinho

augustomarinho@conteudoatual.com.br
Upcoming SlideShare
Loading in …5
×

MobileConf2013 - Desenvolvimento Mobile Seguro

1,514 views

Published on

Apresentação realizada no evento MobileConf 2013 como tema: Desenvolvimento Mobile Seguro segundo a proposta da Owasp.

Published in: Technology

MobileConf2013 - Desenvolvimento Mobile Seguro

  1. 1. Desenvolvimento Mobile Seguro Segundo a proposta da OWASP Augusto Marinho augustomarinho@conteudoatual.com.br
  2. 2. Motivação
  3. 3. Quais os problemas?
  4. 4. Uma proposta... Owasp top ten mobile risks
  5. 5. Armazenamento inseguro dos dados /mnt/sdcard SQLITE_INSEGURO.db
  6. 6. Client Side Injection AndroidManifest.xml android:exported="true" Client side injection Aplicativo Package Play
  7. 7. Exposição de dados por terceiros
  8. 8. Exposição de dados por terceiros ... uma opção
  9. 9. Proteção ineficiente no transporte dos dados Vamos então ao socket SSL ....
  10. 10. Proteção ineficiente no transporte dos dados
  11. 11. Fornecimento de informações sensíveis
  12. 12. Dados sensíveis capturados por inputs inseguros
  13. 13. Controles de autorização e autenticação fracos /data/system/accounts.db
  14. 14. Criptografia Fraca Problema Isso não resolve!!!!! md5(sha1(password)) md5(md5(salt) + md5(password)) sha1(sha1(password))
  15. 15. Controles frágeis do lado servidor
  16. 16. Captura de Sessão
  17. 17. Para finalizar Para desenvolver um aplicativo seguro, não basta utilizar as melhores tecnologias; não basta ser excelente tecnicamente se você não estiver conectado ao negócio e entender quais os impactos negativos para imagem do seu produto, caso uma vulnerabilidade seja explorada com sucesso.
  18. 18. Obrigado! Augusto Marinho augustomarinho@conteudoatual.com.br

×