Repository logo
 
Thumbnail Image
Publication

Automatização de requisitos de segurança em aplicações android

2020Master thesis Open access
http://hdl.handle.net/10451/48358
Use this identifier to reference this record.
Name:Description:Size:Format: 
ulfc126396_tm_Rui_Pereira.pdf929.99 KBAdobe PDF Download

Authors

Pereira, Rui Filipe Gago

Advisor(s)

Neves, Nuno Fuentecilla Maia Ferreira, 1969-
Medeiros, Ibéria Vitória de Sousa, 1971-

Abstract(s)

Na sociedade actual é difícil de identificar alguém que não use um Smartphone. São várias as vantagens que estes pequenos dispositivos móveis trazem, incluindo um mercado de aplicações que nos facilita a vida. Hoje em dia, o nosso telemóvel é um espelho do computador de casa, contendo por vezes uma mistura de informação pessoal e informação profissional. Estes dispositivos tem uma ligação para um repositório que oferece várias aplicações que se podem instalar, mas para que estas aplicações sejam disponibilizadas no mercado não é obrigatório que o seu código implemente e cumpra requisitos de segurança. Esta falta de obrigatoriedade tem levado a que todos os anos sejam descobertas vulnerabilidades em aplicações, sejam Android, IOS ou Windows, que colocam em causa os dados pessoais dos utilizadores. Por exemplo, em 2019 a Forbes anunciou que a Uber assumiu a existência de uma vulnerabilidade na sua aplicação que permitia ao atacante ter controlo total da conta, incluindo verificar quais os trajectos que este já havia feito ou até e mesmo os seus dados bancários associados. Para qualquer solução informática existe um conjunto de requisitos de segurança que devem ser verificados, e as aplicações Android não são excepção. Esta dissertação foca- se na criação do ransAPK, um sistema com a capacidade de verificar automaticamente requisitos de segurança de uma aplicação Android e medir a sua maturidade com base nos requisitos que esta assegura. O ransAPK usa uma metodologia apresentada pela comunidade OWASP, mas executa-a de forma autónoma. Para prova de conceito, o ransAPK foi executado sobre 17 aplicações de três tipos: bancarias, rastreio do COVID-19 e com código protegido (Packed). Os resultados obtidos indicam que nenhuma das aplicações cumpre os requisitos na sua totalidade, o que coloca os utilizadores das mesmas em risco, se as vulnerabilidades que elas contêm forem exploradas.

Description

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020

Keywords

Vulnerabilidades Aplicações Android Qualidade de código Automação de verificação de requisitos Análise de requisitos de segurança Teses de mestrado - 2020

URI

http://hdl.handle.net/10451/48358

Pedagogical Context

Citation

Research Projects

Organizational Units

Journal Issue

Publisher

Collections

FC-DI - Master Thesis (dissertation)

CC License