Mais: http://sobre.assuntonerd.com.br
Agradecimentos
18 anos no mercado mobile.
FirefoxOS
Julho 2012
HTC Dream
Setembro 2008
Linux Magazine 43
Ubuntu Touch
Julho 2008
Outubro 2013
iPaq
Dezembro 2006
KaiOS
Fevereiro 2019
Mobile Top 10 2016
Minimalismo Mobile:
Android : 70,68%
iOS: 28,79%
KaiOS: 0,12%
Balanço 2017: análise de riscos e ameaças mobile.
5 Milhões de aplicativos
2018 : análise de riscos e ameaças mobile.
●
Detecções malware 2018 em relação 2017
●
27,48% menor - Android
●
15% menor – iOS
https://www.welivesecurity.com/br/2018/08/06/ameacas-moveis-brasil-continua-entre-os-
paises-com-maior-numero-de-deteccoes-no-android/
2019 : análise de riscos e ameaças mobile.
https://www.welivesecurity.com/
Android iOS
No que diz respeito às vulnerabilidades no Android, foram publicadas 86 falhas de segurança, o que
representa 14% do total de vulnerabilidades reportadas para esta plataforma em 2018
Para o iOS, 156 vulnerabilidades foram publicadas, representando um aumento de 25% no número de falhas
encontradas para este sistema operacional em comparação com 2018 e quase o dobro das encontradas no
Android durante este ano.
Maior visibilidade, mais exposto...
Desafios: compatibilidade x segurança 2020
Uso incorreto da plataforma, seja com relação aos recursos ou nos controles de segurança. Seguir
as boas práticas do armazenamento de chaves criptográficas das respectivas versões dos sistemas
operacionais, Intents do Android, TouchID da Apple e outros.
M3 – Insecure Communication
Tem foco questão de utilização de versões vulnerareis de TLS ( auto-assinado, validação de
dominio e validaçào de organização), transmissão de dados sensíveis em texto plano e também a não
verificação do certificado digital.
M4 – Insecure Authentication
Algumas medidas como não usar somente device ID para autenticar, forçar o
usuário a criar uma senha forte e não armazená-la no dispositivo são algumas
recomendações da OWASP
Mobile Top 10 2016
M5 – Insufficient Cryptography
Tem como principal objetivo alertar sobre a utilização de técnicas de criptografia de forma inadequada
e/ou insuficiente. Exemplo utilização de chaves simétricas e adição de chaves no aplicativos.
M8 – Code Tampering
Modificação de Binário alteração de recursos locais e modificação de memória dinâmica.
$ apktool d -r -s base.apk
I: Using Apktool 2.3.4 on base.apk
I: Copying raw resources...
I: Copying raw classes.dex file...
I: Copying assets and libs...
I: Copying unknown files...
I: Copying original files...
$ dex2jar base/classes.dex
dex2jar base/classes.dex -> ./classes-dex2jar.jar
$ jd-gui ./classes-dex2jar.jar
$ apktool b -f -d base