Automatização de requisitos de segurança em aplicações android

Abstract

Na sociedade actual é difícil de identificar alguém que não use um Smartphone. São várias as vantagens que estes pequenos dispositivos móveis trazem, incluindo um mercado de aplicações que nos facilita a vida. Hoje em dia, o nosso telemóvel é um espelho do computador de casa, contendo por vezes uma mistura de informação pessoal e informação profissional. Estes dispositivos tem uma ligação para um repositório que oferece várias aplicações que se podem instalar, mas para que estas aplicações sejam disponibilizadas no mercado não é obrigatório que o seu código implemente e cumpra requisitos de segurança. Esta falta de obrigatoriedade tem levado a que todos os anos sejam descobertas vulnerabilidades em aplicações, sejam Android, IOS ou Windows, que colocam em causa os dados pessoais dos utilizadores. Por exemplo, em 2019 a Forbes anunciou que a Uber assumiu a existência de uma vulnerabilidade na sua aplicação que permitia ao atacante ter controlo total da conta, incluindo verificar quais os trajectos que este já havia feito ou até e mesmo os seus dados bancários associados. Para qualquer solução informática existe um conjunto de requisitos de segurança que devem ser verificados, e as aplicações Android não são excepção. Esta dissertação foca- se na criação do ransAPK, um sistema com a capacidade de verificar automaticamente requisitos de segurança de uma aplicação Android e medir a sua maturidade com base nos requisitos que esta assegura. O ransAPK usa uma metodologia apresentada pela comunidade OWASP, mas executa-a de forma autónoma. Para prova de conceito, o ransAPK foi executado sobre 17 aplicações de três tipos: bancarias, rastreio do COVID-19 e com código protegido (Packed). Os resultados obtidos indicam que nenhuma das aplicações cumpre os requisitos na sua totalidade, o que coloca os utilizadores das mesmas em risco, se as vulnerabilidades que elas contêm forem exploradas.