Tópicos Avançados da Computação

Ciência da Computação

Vulnerabilidades em
aplicações mobile

Docente PHD. Mateus Padoca Calado

2022/2023
Monitora: Sandra Catraio
PROFESSORES

Elizabeth Matéus Yuri José Rego

elizabeth2000mateus@gmail.com yurirego12@gmail.com

2/29
 Objectivo
Responder as seguintes questões:

 Como compreender a Vulnerabilidade?

 Como é constituido um ambiente móvel (Arquitetura)?

 Quais os principais vectores de ataques?

 Quais as principais ameaças da CSA à computação móvel?

 OWASP Mobile Security Project - Top Ten Mobile Risks

3/29
 Contextualização
1 TAC do tema
  Vulnerabilidade
⬥ Se você conhece o inimigo e se conhece, não precisa temer o
resultado de cem batalhas. Se você conhece a si mesmo, mas
não o inimigo, por cada vitória obtida, você também sofrerá
uma derrota. Se você não conhece nem o inimigo nem você,
você sucumbirá em todas as batalhas.(Sun Tzu)

⬥ Vulnerabilidade: é qualquer brecha no sistema, que

comprometa a confidencialidade, integridade ou a
disponibilidade dos dados relactivo ao mesmo sistema. 5/29
 Ambiente Móvel
⬥ Dispositivos:
⬦ Smartphones, Tablets

⬥ Sistemas Operativos:
⬦ Android, IOS, Windows Phone/Mobile,...

⬥ Aplicações:
⬦ Bloco de notas, holy Bible, Navegadores, etc.
6/29
 “
Arquitetura do Ambiente móvel

Aplicações
(contacts, browser,... Construído e carregado da store)

serviços
( notificações, Recursos, ...)

Runtime bibliotecas / core services

(Android: Dalvik baseado no JVM) (graph, media, web, SQL, cripto,...)

Kernel
(Android: baseado no Linux; iOS baseado em Darwin/BSD)

Hardware 7/29
(usual + RF transceiver, SIM card, NFC, GPS, sensors,...)
2 TAC
Ataques
 Principais Vectores de Ataques
⬥ Aplicativos descarregados a partir de loja de aplicações:
⬦ Principais: Apple App Store, Google Play Store, Windows Phone Store

⬦ Permissões de reclamação, assim podem reivindicar mais do que o necessário

⬦ Quebrar propriedades de segurança por si só (exemplo, roubar dados)

⬦ Adulterar o comportamento de apps legítimas

⬦ 2 casos: Apps maliciosas, aplicações reembaladas (Ex. no Android)

9/29
 Principais Vectores de Ataques

⬥ Comunicações:
⬦ wifi, bluetooth, SMS, MMS

⬥ Mais os de computadores "normais“

⬦ download drive-by, anexos maliciosos, etc.

10/29
 Jailbreak /rooting
 Ataques mais graves se dispositivo sofrer jailbreak/rooting:
exploração é executada para quebrar proteções originais;
 Por exemplo, aceder à conta raiz, aceder a ficheiros, executar
aplicações que não estão nas lojas (para iOS),...
 O termo jailbreak é mais usado para iOS, e rooting para Android.

11/29
 Exemplos de malware móvel
Method of
Name Time Type Effects OS
Infection

SMS containing Send contact lists

Yxe 2009 Worm Symbian OS
malicious URL to external server

Worm/ SMS containing Send contact lists

Yxes 2009 Symbian OS
Botnet malicious URL to external server

Scanning a IP
Ikee 2009 Worm Alter wallpaper iPhone
ranges and SSH

FlexiSp Tracking/log of
2009 Spyware Fake Application Symbian 12/29
y device’s usage
 Exemplos de malware móvel
Method of
Name Time Type Effects OS
Infection
Curse
SMS Vulnerabilities in Disable SMS
of 2009 Symbian OS
Exploit e-mail parsing functionalities
Silence

Steal bank
ZeuS Cross-
2010 Worm Fake SMS account
MitMo Plafrom
information

Collect private
Scanning IP and
information, send
iSAM 2011 Bot connecting to iPhone
malicious SMS,
SSH
DoS 13/29
 Principais ameaças da CSA
à
3 TACcomputação móvel
 Ameaças

Ameaça = Vulnerabilidade X nº de Utilizadores

Com isso, para medir a ameaça em cada plataforma, é

necessário se ter a noção do número de utilizadores de
cada plataforma conforme o seguinte gráfico que mostra as
vendas de smartphones em todo o mundo:

15/29
Ex.: Partido Político
“

16
16/29
17/29
 #1-Perda de Dados de Dispositivos Perdidos,
Roubados ou Desativados
⬥ Roubo, perda ou venda de um dispositivo móvel
⬥ Palavra-passe fraca, sem palavra-passe e pouca/nenhuma
encriptação pode levar a fugas de dados nos dispositivos.

⬥ Exemplo: Symantec Smartphone Honey Stick Project perdeu

smartphones de propósito
⬦ 83% tiveram tentativas de aceder a apps empresariais
⬦ 89% tiveram tentativas de aceder a apps pessoais
⬦ 50% contactaram o proprietário 18/29
 #2- Malware que rouba informações
⬥ Dispositivos Android, em
particular, oferecem muitas
opções para downloads de
aplicações e instalações; a
maior parte dos códigos
maliciosos distribuído para
Android foi divulgado através
de lojas de aplicações de
terceiros.
⬥ Exemplo: 19/29
 #3- Perda de dados e Fuga de Dados
A falha de segurança foi originada na biblioteca Play Core do Google e, portanto, atinge apenas aplicativos que fazem uso desse recurso. A Play Core permite q
desenvolvedores enviem atualizações de apps e novas funções, e a brecha possibilita que qualquer código de programação seja “injetado” em um aplicativo da

através de aplicações mal escritas

biblioteca.

5 desafios para a segurança digital no home office

Sistema onde os agentes não colaboram para um

Article Photo

objectivo comum, trabalhando apenas para atingir os

Dicas para comprar câmeras de segurança
seus próprios objectivos, negociando com os outros
Article Photo
quando lhe convém.

A invasão de fato acontece ao instalar um aplicativo malicioso no celular. Ele, então, se infiltra em algum aplicativo que tenha a brecha de segurança para execu
o ataque e obter acesso aos dados pessoais do dono do celular. É importante ter cuidado com os apps que você baixa no celular, e manter o dispositivo e os
aplicativos atualizados. Usar programas de antivírus e se atentar às permissões dos aplicativos também é uma medida de segurança.

Como remover vírus em um celular Android

20/29
Como remover vírus em um celular Android
 Consolidação & Exemplo
4 TAC
Prático
Existe Aplicação 100%
segura?
22
28/29
OBRIGADO
PELA
ATENÇÃO!
Alguma questão?

29/29