Segurança para Android, o que eu preciso saber?

Transcript

1. None

2. Alex Soares Desenvolvedor Android @a.soares.siqueira /alex-soares-siqueira /AlexSoaresDeSiqueira

3. Segurança para android O que eu preciso saber?

4. Você já deu permissão de acesso a seus dados só

   para usar um app?

5. Vamos quebrar o nosso app!

6. Ferramentas

7. ⇢ ApkTool Ferramentas

8. ⇢ ApkTool ➜ release apktool d app-release.apk Ferramentas

9. ⇢ ApkTool ➜ release apktool d app-release.apk Ferramentas

10. decompile ⇢ ApkTool ➜ release apktool d app-release.apk Ferramentas

11. decompile .smali ⇢ ApkTool ➜ release apktool d app-release.apk Ferramentas

12. None

13. decompile .smali analise estatica ⇢ ApkTool ➜ release apktool d

    app-release.apk Ferramentas

14. decompile .smali analise estatica alteração do código ⇢ ApkTool ➜

    release apktool d app-release.apk Ferramentas

15. ⇢ ApkTool ➜ release apktool d app-release.apk decompile .smali compile

    analise estatica alteração do código Ferramentas

16. ⇢ ApkTool ➜ release apktool d app-release.apk ➜ release apktool

    b app-release -o new_app_release.apk decompile .smali compile analise estatica alteração do código Ferramentas

17. ⇢ ApkTool ➜ release apktool d app-release.apk ➜ release apktool

    b app-release -o new_app_release.apk decompile .smali compile analise estatica alteração do código Ferramentas

18. ⇢ Jadx Ferramentas

19. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk Ferramentas

20. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk Ferramentas

21. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk Ferramentas

22. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk .smali Ferramentas

23. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk .smali Ferramentas

24. ⇢ Jadx ➜ release jadx -d jadx-release-pro app-release.apk .smali Ferramentas

25. None

26. Minimizando os riscos de segurança

27. Minimizando os riscos de segurança ⇢ Cuidado com o log

28. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app

29. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas

30. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard

31. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard ⇢ Cuidado com as libs de terceiros
32. None

33. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard ⇢ Cuidado com as libs de terceiros ⇢ Cuide da sua rede

34. Cuide da sua rede ⇢ Certificate Pinning

35. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

36. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

    ⇢ Não utilize protocolos inseguros

37. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

    ⇢ Não utilize protocolos inseguros ⇢ Network Security Configuration

38. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

    ⇢ Não utilize protocolos inseguros ⇢ Network Security Configuration ⇢ usesClearTextTraffic

39. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

    ⇢ Não utilize protocolos inseguros ⇢ Network Security Configuration ⇢ usesClearTextTraffic ⇢ StrictMode.VmPolicy.Builder().detectCleartextNetwork()

40. Cuide da sua rede ⇢ Certificate Pinning ⇢ Token Rolante

    ⇢ Não utilize protocolos inseguros ⇢ Network Security Configuration ⇢ usesClearTextTraffic ⇢ StrictMode.VmPolicy.Builder().detectCleartextNetwork() ⇢ Criptografia

41. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard ⇢ Cuidado com as libs de terceiros ⇢ Cuide da sua rede ⇢ SafetyNet

42. SafetyNet ⇢ Conjunto de APIs

43. SafetyNet ⇢ Conjunto de APIs ⇢ Attestation

44. SafetyNet ⇢ Conjunto de APIs ⇢ Attestation ⇢ Safe Browsing

45. SafetyNet ⇢ Conjunto de APIs ⇢ Attestation ⇢ Safe Browsing

    ⇢ reCAPTCHA

46. SafetyNet ⇢ Conjunto de APIs ⇢ Attestation ⇢ Safe Browsing

    ⇢ reCAPTCHA ⇢ Verify Apps

47. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard ⇢ Cuidado com as libs de terceiros ⇢ Cuide da sua rede ⇢ SafetyNet ⇢ Force update

48. Minimizando os riscos de segurança ⇢ Cuidado com o log

    ⇢ Não salve chaves e tokens no seu app ⇢ Cuidado com as informações transitadas ⇢ Proteja contra Printscreens e clipboard ⇢ Cuidado com as libs de terceiros ⇢ Cuide da sua rede ⇢ SafetyNet ⇢ Force update ⇢ Ofusque o seu código

49. ⇢ ProGuard Ofuscação de código

50. Ofuscação de código ⇢ ProGuard Ofuscação de código

51. Ofuscação de código ⇢ ProGuard ⇢ DexGuard

52. Ofuscação de código ⇢ ProGuard ⇢ DexGuard

53. None

54. Podemos diminuir os riscos do nosso app ficar vulnerável Insight

55. Dúvidas?

56. Muito obrigado! /alex-soares-siqueira /AlexSoaresDeSiqueira

57. None

58. Referências Politica de software indesejado da google https://www.google.com/about/unwanted-software-policy.html OWASP Mobile

    https://www.owasp.org/index.php/OWASP_Mobile_Security_Project Documentação sobre segurança no android https://developer.android.com/topic/security/best-practices Ferramentas https://techbeacon.com/app-dev-testing/16-tools-bulletproof-android- app-security