Crie aplicativos móveis à prova de balas com OWASP MAS

Por Brian Reed, Diretor de Mobilidade da NowSecure 

Aplicativos móveis dirigem 70% do tráfego da Internet e consumir 88% de todo o tempo móvel, tornando-os essenciais para organizações que buscam aumentar a receita, conectar-se com clientes e obter insights para melhorar produtos e serviços. Ao mesmo tempo, o aumento no tráfego de aplicativos móveis aumenta o risco para as organizações que não priorizam a segurança. Isso pressiona os desenvolvedores de aplicativos móveis a desenvolver e fornecer rapidamente aplicativos móveis seguros e de alta qualidade que impulsionam a inovação e atendem às necessidades dos negócios.

Para gerenciar os riscos do cenário de ameaças móveis, o Web aberta Application Security Projeto (OWASP) desenvolveu o Móvel Esteira Application Security (MAS) projeto principal para estabelecer uma base comum para requisitos de segurança de aplicativos móveis. Além de fornecer os padrões do setor, o OWASP MAS educa desenvolvedores de aplicativos móveis, arquitetos, analistas de segurança e engenheiros de segurança sobre as ferramentas, técnicas e metodologias necessárias para garantir a segurança de aplicativos móveis em todo o ciclo de desenvolvimento e operações de produção.

Os desenvolvedores de aplicativos móveis devem compreender os princípios básicos do projeto OWASP MAS e os mais comuns segurança de aplicativo móvel problemas para que possam projetar, construir, desenvolver e testar aplicativos móveis de forma consistente com a segurança em mente. Os desenvolvedores que usam os padrões OWASP MAS frequentemente relatam maior desempenho, eficiência e release previsibilidade enquanto reduz o risco.

Os principais componentes do OWASP MAS

Os desenvolvedores de aplicativos móveis que desejam proteger seus aplicativos móveis devem aplicar os três componentes principais do projeto OWASP MAS:

• Móvel Esteira Application Security Padrão de Verificação (MASVS): OWASP criou o MASVS para fornecer uma lista abrangente de requisitos que os desenvolvedores de aplicativos móveis podem usar para garantir que os aplicativos móveis Android e iOS mantenham um nível adequado de segurança. Os requisitos satisfazem três objetivos principais:
  • Use como orientação – Forneça orientação de segurança durante todas as fases de desenvolvimento e teste de aplicativos móveis;
  • Use como uma métrica – Forneça um padrão de segurança com o qual os aplicativos móveis podem ser comparados por desenvolvedores e proprietários de aplicativos;
  • Use durante a aquisição – forneça uma linha de base para verificação de segurança de aplicativos móveis.
• Móvel Esteira Application Security Guia de teste (MASTG): Este manual fornece aos desenvolvedores de aplicativos móveis as informações essenciais de que precisam para construir com segurança, oferecendo aconselhamento técnico sobre práticas seguras de codificação, modelagem de ameaças, avaliação de vulnerabilidade, teste de penetração, e gerenciamento de riscos. Os desenvolvedores também podem aprender sobre técnicas de teste adequadas, incluindo modelagem de ameaças, testes de penetração e avaliação de riscos.
• Móvel Esteira Application Security (MAS) lista de verificação: Os desenvolvedores de aplicativos móveis podem acessar a lista de verificação MAS para garantir que seus aplicativos móveis sejam testados em todas as categorias especificadas pelo MASVS. Essas categorias incluem arquitetura, design e modelagem de ameaças, armazenamento e privacidade de dados, criptografia, autenticação e gerenciamento de sessão, comunicação de rede, interação de plataforma, qualidade de código e configuração e resiliência de construção.

Problemas do Mobile AppSec a serem conhecidos

Para criar a estratégia de AppSec móvel baseada em padrões mais eficaz, os desenvolvedores devem se familiarizar com os problemas mais comuns encontrados em aplicativos móveis inseguros.

• Armazenamento de dados impróprio: A pesquisa da NowSecure descobriu que 50% dos aplicativos móveis testados contra MASVS armazenam indevidamente informações de identificação pessoal (PII). Esse problema tem sérias implicações para aplicativos móveis desenvolvidos para setores altamente regulamentados, como finanças e saúde, onde as violações de segurança podem levar a sérias consequências. Os desenvolvedores devem verificar senhas, chaves criptográficas e outras credenciais seguindo as técnicas de armazenamento de dados MASVS. Além disso, as entradas de dados confidenciais nunca devem ser armazenadas em cache ou aparecer nos logs do aplicativo, e os desenvolvedores devem usar configurações nativas do sistema operacional para armazenamento.
• Criptografia Fraca: Os desenvolvedores geralmente registram grandes quantidades de dados confidenciais para fins de depuração em diferentes estágios do pipeline. Mas atores de ameaças pode acessar ferramentas avançadas para Engenharia reversa algoritmos fracos, criando oportunidades para roubar PII com facilidade. Os desenvolvedores devem evitar algoritmos de criptografia próprios e de terceiros fracos ou desatualizados para se protegerem contra ferramentas de engenharia reversa, deploy geradores de números pseudo-aleatórios e usar criptografia de caixa branca para proteção máxima.
• Autenticação fraca e gerenciamento de sessão: Sessões inativas ou invalidadas podem facilitar a violação de aplicativos móveis pelos invasores. Os desenvolvedores devem evitar que as sessões inativas sejam muito longas e garantir que os dados permaneçam ocultos quando os usuários colocam os aplicativos móveis em segundo plano. Eles também devem evitar permissões e autenticação no lado do cliente porque os agentes de ameaças podem descobrir os mecanismos de gerenciamento de sessão e gerar suas credenciais.
• Comunicações de rede inseguras: A atividade de rede insegura permite que os agentes de ameaças interceptem PII quando a comunicação entre o aplicativo móvel e os terminais de serviço remoto não tem criptografia. Assim como os problemas com armazenamento inadequado de dados, as conexões inseguras de rede de aplicativos móveis podem ser particularmente preocupantes para aplicativos móveis para setores altamente regulamentados. A fixação de certificado pode ajudar os desenvolvedores a garantir que as comunicações permaneçam conectadas ao servidor pretendido, para que dados confidenciais não caiam em mãos erradas. Os desenvolvedores também devem usar APIs de segurança específicas para Android e iOS e criptografia de caixa branca para proteção adicional.
• Qualidade de código ruim e configurações de compilação: O teste de benchmark NowSecure descobriu que 47% dos aplicativos móveis têm problemas de qualidade de código, o que pode levar a grandes violações de segurança se não for verificado. Esses problemas variam de símbolos de depuração deixados no código a bugs encontrados em bibliotecas de terceiros não verificadas. Os desenvolvedores devem aprender técnicas de codificação segura para evitar falhas em seu próprio código e revisar e atualizar consistentemente as bibliotecas de terceiros.
• Falta de resiliência contra engenharia reversa: Aplicativos de saúde, aplicativos de serviços financeiros e aplicativos de jogos estão sujeitos a extensas tentativas de engenharia reversa por parte de alguns dos atores de ameaças mais qualificados e persistentes do mundo. Os proprietários de aplicativos e a engenharia de construção devem ofuscar código por meio de técnicas de código aberto ou ferramentas de terceiros. Além disso, os proprietários de aplicativos e engenheiros de desenvolvimento precisam se proteger contra adulterações, adicionando a capacidade de monitorar aplicativos Que é released na selva. Por fim, os proprietários de aplicativos precisam adicionar a capacidade de desligar ou, pelo menos, depreciar a funcionalidade de aplicativos em estado selvagem que foram comprometidos.

As organizações podem usar uma variedade de ferramentas e técnicas para confirmar que os desenvolvedores implementar adequadamente os princípios MASVS em todo o pipeline. Ferramentas integradas de teste automatizado com dicas de correção integradas, ajudam os desenvolvedores a resolver bugs de segurança com rapidez e eficiência. Teste guiado combina os benefícios de testes de segurança manuais e automatizados, permitindo que testes automatizados sejam executados continuamente em segundo plano, enquanto um analista de segurança humano intervém periodicamente para testar recursos de segurança intrincados que exigem um toque humano. Além disso, adicionando anti-adulteração medidas antes deploymento fornece uma camada extra de proteção, evitando a engenharia reversa e o monitoramento desafe ambientes como dispositivos ou emuladores com jailbreak/root. Um mecanismo de política automatizado garante que os desenvolvedores cumpram os princípios de desenvolvimento seguro baseados em MASVS desde a pré-produção até deploymento.

Seguindo os principais componentes do projeto OWASP MAS, alavancando ferramentas de teste automatizadas, aprendendo codificação segura práticas, entendendo falhas de segurança mais comuns em aplicativos móveis e adicionando resiliência, os desenvolvedores terão as ferramentas e habilidades necessárias para criar aplicativos móveis à prova de balas. Os desenvolvedores podem aprender mais sobre como melhorar a segurança de aplicativos móveis com OWASP MAS assistindo ao NowSecure/Digital.ai webinar MASVS Team Up: segurança móvel à prova de balas de Dev a Prod e Digital.aipequeno vídeo informativo de Construir Software Seguro.

Sobre o autor: Como NowSecure Chief Mobility Officer, Brian Reed traz décadas de experiência em dispositivos móveis, aplicativos, segurança, desenvolvimento e gerenciamento de operações, incluindo NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus e INTERSOLV trabalhando com clientes globais da Fortune 2000 , pioneiros móveis e agências governamentais. Na NowSecure, Brian dirige a estratégia geral de entrada no mercado, o portfólio de soluções, os programas de marketing e o ecossistema da indústria. Com mais de 25 anos construindo produtos inovadores e transformando negócios, Brian tem um histórico comprovado em empresas iniciais e intermediárias em vários mercados e regiões de tecnologia. Como um notável orador e líder de pensamento, Brian é um orador dinâmico e um contador de histórias convincente que traz percepções únicas e experiência global. Brian é formado pela Duke University.