Crie aplicativos móveis à prova de falhas com o OWASP MAS.

Por Brian Reed, Diretor de Mobilidade da NowSecure 

 

Aplicativos móveis impulsionam 70% do tráfego da Internet e consumir 88% de todo o tempo gasto em dispositivos móveisIsso torna os aplicativos móveis essenciais para organizações que buscam aumentar a receita, conectar-se com os clientes e obter insights para aprimorar produtos e serviços. Ao mesmo tempo, o crescimento do tráfego de aplicativos móveis aumenta o risco para organizações que não priorizam a segurança. Isso pressiona os desenvolvedores de aplicativos móveis a desenvolverem e entregarem rapidamente aplicativos seguros e de alta qualidade que impulsionem a inovação e atendam às necessidades dos negócios.

Para gerenciar os riscos do cenário de ameaças móveis, o Web aberta Application Security Projeto (OWASP) desenvolveu o Mobile Application Security (MAS) O projeto principal da OWASP visa estabelecer uma base comum para os requisitos de segurança de aplicativos móveis. Além de fornecer padrões da indústria, o OWASP MAS educa desenvolvedores, arquitetos, analistas de segurança e engenheiros de segurança de aplicativos móveis sobre as ferramentas, técnicas e metodologias necessárias para garantir a segurança de aplicativos móveis em todo o ciclo de desenvolvimento e durante as operações de produção.

Os desenvolvedores de aplicativos móveis devem compreender os principais princípios do projeto OWASP MAS e os problemas mais comuns. segurança de aplicativo móvel questões para que possam projetar, construir, desenvolver e testar aplicativos móveis com foco em segurança de forma consistente. Desenvolvedores que utilizam os padrões OWASP MAS frequentemente relatam maior desempenho, eficiência e previsibilidade de lançamento, além de reduzir riscos.

Os componentes principais do OWASP MAS

Os desenvolvedores de aplicativos móveis que desejam proteger seus aplicativos devem aplicar os três componentes principais do projeto OWASP MAS:

  • Mobile Application Security Padrão de Verificação (MASVS)A OWASP criou o MASVS para fornecer uma lista abrangente de requisitos que os desenvolvedores de aplicativos móveis podem usar para garantir que os aplicativos Android e iOS mantenham um nível adequado de segurança. Os requisitos atendem a três objetivos principais:
    • Utilize como guia – Forneça orientações de segurança durante todas as fases de desenvolvimento e teste de aplicativos móveis;
    • Utilizar como métrica – Forneça um padrão de segurança com o qual os aplicativos móveis possam ser comparados por desenvolvedores e proprietários de aplicativos;
    • Utilização durante o processo de aquisição – Fornece uma base para a verificação da segurança de aplicativos móveis.
  • Mobile Application Security Guia de Testes (MASTG)Este manual fornece aos desenvolvedores de aplicativos móveis as informações essenciais para criar aplicativos seguros, oferecendo conselhos técnicos sobre práticas de programação segura, modelagem de ameaças e avaliação de vulnerabilidades. teste de penetraçãoe gerenciamento de riscos. Os desenvolvedores também podem aprender sobre técnicas de teste adequadas, incluindo modelagem de ameaças, testes de penetração e avaliação de riscos.
  • Mobile Application Security Lista de verificação (MAS)Os desenvolvedores de aplicativos móveis podem acessar a lista de verificação MAS para garantir que seus aplicativos sejam testados em todas as categorias especificadas pelo MASVS. Essas categorias incluem arquitetura, design e modelagem de ameaças, armazenamento e privacidade de dados, criptografia, autenticação e gerenciamento de sessão, comunicação de rede, interação com a plataforma, qualidade do código e configurações de compilação e resiliência.

Questões de segurança de aplicativos móveis que você precisa conhecer.

Para criar a estratégia de segurança de aplicativos móveis mais eficaz e baseada em padrões, os desenvolvedores devem se familiarizar com os problemas mais comuns encontrados em aplicativos móveis inseguros.

  • Armazenamento inadequado de dados: Uma pesquisa da NowSecure revelou que 50% dos aplicativos móveis testados com o MASVS armazenam informações de identificação pessoal (PII) de forma inadequada. Esse problema tem sérias implicações para aplicativos móveis desenvolvidos para setores altamente regulamentados, como o financeiro e o da saúde, onde violações de segurança podem levar a graves consequências. Os desenvolvedores devem verificar senhas, chaves criptográficas e outras credenciais seguindo as técnicas de armazenamento de dados do MASVS. Além disso, dados sensíveis nunca devem ser armazenados em cache ou aparecer nos registros do aplicativo, e os desenvolvedores devem usar as configurações nativas do sistema operacional para armazenamento.
  • Criptografia fraca: Os desenvolvedores costumam registrar grandes quantidades de dados confidenciais para fins de depuração em diferentes estágios do pipeline. Mas atores de ameaças pode acessar ferramentas avançadas para Engenharia reversa Algoritmos fracos criam oportunidades para roubar informações pessoais com facilidade. Os desenvolvedores devem evitar algoritmos criptográficos fracos ou desatualizados, tanto de primeira quanto de terceiros, para se protegerem contra ferramentas de engenharia reversa, implementar geradores de números pseudoaleatórios e usar criptografia de caixa branca para proteção máxima.
  • Autenticação fraca e gerenciamento de sessão: A inatividade ou sessões invalidadas podem facilitar a invasão de aplicativos móveis por atacantes. Os desenvolvedores devem impedir que sessões inativas permaneçam ativas por muito tempo e garantir que os dados permaneçam ocultos quando os usuários minimizarem os aplicativos. Também devem evitar permissões e autenticação no lado do cliente, pois os agentes maliciosos podem descobrir os mecanismos de gerenciamento de sessão e gerar suas credenciais.
  • Comunicações de rede inseguras: Atividades de rede inseguras permitem que agentes maliciosos interceptem informações pessoais identificáveis ​​(PII) quando a comunicação entre o aplicativo móvel e os endpoints de serviços remotos não possui criptografia. Assim como os problemas com armazenamento inadequado de dados, conexões de rede inseguras em aplicativos móveis podem ser particularmente preocupantes para aplicativos destinados a setores altamente regulamentados. Fixação de certificado Isso pode ajudar os desenvolvedores a garantir que as comunicações permaneçam conectadas ao servidor pretendido, para que dados confidenciais não caiam em mãos erradas. Os desenvolvedores também devem usar APIs de segurança específicas do Android e do iOS, além de criptografia de caixa branca, para proteção adicional.
  • Qualidade de código e configurações de compilação deficientes: Os testes de benchmark da NowSecure revelaram que 47% dos aplicativos móveis apresentam problemas de qualidade de código, o que pode levar a grandes falhas de segurança se não for corrigido. Esses problemas variam desde símbolos de depuração deixados no código até bugs encontrados em bibliotecas de terceiros não verificadas. Os desenvolvedores devem aprender técnicas de programação segura para evitar falhas em seu próprio código e revisar e atualizar constantemente as bibliotecas de terceiros.
  • Falta de resiliência contra engenharia reversa: Aplicativos de saúde, aplicativos de serviços financeiros e aplicativos de jogos estão sujeitos a extensas tentativas de engenharia reversa por alguns dos agentes de ameaças mais habilidosos e persistentes do mundo. Proprietários de aplicativos e engenheiros de desenvolvimento devem ofuscar código, seja por meio de técnicas de código aberto ou ferramentas de terceiros. Além disso, os proprietários de aplicativos e os engenheiros de compilação precisam se proteger contra adulterações, adicionando a capacidade de monitorar aplicativos que são lançadas na internet. Por fim, os proprietários de aplicativos precisam adicionar a capacidade de desativar ou, pelo menos, tornar obsoletas as funcionalidades de aplicativos em uso que tenham sido comprometidos.

As organizações podem usar diversas ferramentas e técnicas para confirmar que os desenvolvedores Implementar corretamente os princípios MASVS em todo o processo.. Ferramentas integradas de teste automatizado Com dicas de correção integradas, ajuda os desenvolvedores a resolver bugs de segurança de forma rápida e eficiente. Testes guiados Combina os benefícios dos testes de segurança manuais e automatizados, permitindo que os testes automatizados sejam executados continuamente em segundo plano, enquanto um analista de segurança humano intervém periodicamente para testar recursos de segurança complexos que exigem intervenção humana. Além disso, adiciona anti-adulteração Medidas tomadas antes da implantação fornecem uma camada extra de proteção, impedindo a engenharia reversa e o monitoramento para fins não autorizados.safe ambientes como dispositivos com jailbreak/root ou emuladores. Um mecanismo de política automatizado Garante que os desenvolvedores cumpram os princípios de desenvolvimento seguro baseados no MASVS, desde a pré-produção até a implantação.

Seguindo os componentes principais do projeto OWASP MAS, aproveitando ferramentas de teste automatizadas, Aprendendo programação segura práticas, compreendendo o falhas de segurança mais comuns em aplicativos móveis e adicionando resiliênciaOs desenvolvedores terão as ferramentas e habilidades necessárias para criar aplicativos móveis à prova de falhas. Os desenvolvedores podem aprender mais sobre como melhorar a segurança de aplicativos móveis com o OWASP MAS assistindo ao vídeo da NowSecure/Digital.ai webinar MASVS Team Up: Segurança móvel à prova de balas, do desenvolvimento à produção. e Digital.aivídeo informativo curto Crie software seguro.

Sobre o autor: Como Diretor de Mobilidade da NowSecure, Brian Reed traz décadas de experiência em dispositivos móveis, aplicativos, segurança, desenvolvimento e gestão de operações, incluindo passagens pela NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus e INTERSOLV, trabalhando com clientes globais da Fortune 2000, pioneiros em mobilidade e agências governamentais. Na NowSecure, Brian lidera a estratégia geral de entrada no mercado, o portfólio de soluções, os programas de marketing e o ecossistema do setor. Com mais de 25 anos de experiência na criação de produtos inovadores e na transformação de negócios, Brian possui um histórico comprovado em empresas em estágio inicial e intermediário em diversos mercados e regiões de tecnologia. Como palestrante renomado e líder de pensamento, Brian é um orador dinâmico e um contador de histórias envolvente que traz insights únicos e experiência global. Brian é graduado pela Universidade Duke.

 

Também recomendamos