Analise de Segurança em Aplicação Mobile

Etapa Consultiva: Diagnostico

Objetivo da Consultoria

A Análise de Segurança em Aplicação Mobile tem por objetivo identificar as fragilidades de segurança que a aplicação possa vir a apresentar, mapear os controles existentes e inexistentes sobre o aplicativo, visando a implementação de controles que irão proteger a aplicação, garantindo assim, a efetividade de segurança da aplicação.

Descrição da Consultoria

O processo de Análise de Segurança em Aplicação Mobile consiste em submeter a aplicação a testes que visam identificar as fragilidades técnicas do aplicativo e verificar se o mesmo é seguro para uso. Este processo baseia-se em três etapas.

 

A primeira etapa da análise possibilita evidenciar as fragilidades a nível de código fonte(em relação à codificação da aplicação), submetendo o código fonte da aplicação a análise por meio do uso ferramentas de Análise Estática de Segurança em Código Fonte.

A segunda etapa tem como objetivo evidenciar a exploração destas fragilidades por meio de um teste de penetração – Penetration Test – que consiste na aplicação de técnicas manuais ou automatizadas para validar as possíveis fragilidades identificadas; complementado pela classificação de nível de risco, permitindo a priorização e o tratamento dos componentes mais sensíveis.

 

Por último é realizada uma Análise Forense para verificar o comportamento da aplicação no dispositivo em que ela encontra-se instalada, este processo visa analisar a estrutura de arquivos que aplicação mantêm sobre o dispositivo, verificar a integridade dos logs da aplicação, entre outros aspectos que contemplem a segurança da aplicação.

 

Saiba mais sobre nossos perfis de análises logo abaixo.

Análise de Segurança em Aplicações Mobile

  • Modelagem de Ameaças da Aplicação;
  • Depuração e Fuzzing no Código Fonte;
  • Identificação dos Recursos e Tecnologias em uso;
  • Verificação dos Mecanismos de Autenticação e Autorização;
  • Gestão de Sessões e Armazenamento de Dados;
  • Análise de Tráfego (Proteção na Camada de Transporte);
  • Análise Forense (File Hierarchy System, Criptografia do Banco de Dados, …);
  • Injeção SQL (SQL Injection);
  • Cross Site Scripting (XSS);

OWASP TOP 10 Mobile Risks – 2014

  • M1 – Fragilidades nos Controles do Servidor;
  • M2 – Armazenamento Inseguro dos Dados;
  • M3 – Proteção Insulficiente na Camada de Transporte;
  • M4 – Vazamento Não Intencional de Dados;
  • M5 – Autorização e Autenticação Fracas;
  • M6 – Quebra de Criptografa;M7 – Injeção de Código no Lado do Cliente (Client Side Injection);
  • M8 – Decisões de Segurança por Entradas Não Confiáveis;
  • M9 – Manipulação Imprópria de Sessão; e
  • M10 – Falta de Proteção em Binários.

Metodologias Utilizadas pela DATA  SECURIT

Metodologia Qualitativa DATA  SECURITY

OWASP Mobile Security Project

NIST 500-268

Topo

© Copyright 2006 - 2018 | DATA SECURITY | Todos os direitos reservados. | Leia nossa POLÍTICA DE PRIVACIDADE