Desenvolvimento 
Seguro 
Augusto Marinho 
augustomarinho@conteudoatual.com.br
Motivação
Quais os 
problemas?
Owasp top ten mobile 
risks 
Uma proposta...
Armazenamento inseguro dos dados 
/mnt/sdcard SQLITE_INSEGURO.db
Client Side Injection 
android:exported="true"
Exposição de dados por terceiros
Exposição de dados por terceiros 
... uma opção
Proteção ineficiente no transporte dos dados 
Vamos então ao socket SSL ....
Fornecimento de informações sensíveis
Dados sensíveis capturados por inputs inseguros
Controles de autorização e autenticação fracos 
/data/system/accounts.db
Problema 
Isso não resolve!!!!! 
md5(sha1(password)) 
md5(md5(salt) + md5(password)) 
sha1(sha1(password)) 
Criptografia F...
Controles frágeis do lado servidor
Captura de Sessão
Para finalizar 
Para desenvolver um aplicativo seguro, não basta utilizar as 
melhores tecnologias; não basta ser excelent...
Obrigado! 
Augusto Marinho 
augustomarinho@conteudoatual.com.br
Próximos SlideShares
Carregando em…5
×

Desenvolvimento Seguro Android GDG RIO

779 visualizações

Publicada em

Slide apresentado na Sudeste DevFest organizada pelo GDG

Publicada em: Celular
  • Seja o primeiro a comentar

Desenvolvimento Seguro Android GDG RIO

  1. 1. Desenvolvimento Seguro Augusto Marinho augustomarinho@conteudoatual.com.br
  2. 2. Motivação
  3. 3. Quais os problemas?
  4. 4. Owasp top ten mobile risks Uma proposta...
  5. 5. Armazenamento inseguro dos dados /mnt/sdcard SQLITE_INSEGURO.db
  6. 6. Client Side Injection android:exported="true"
  7. 7. Exposição de dados por terceiros
  8. 8. Exposição de dados por terceiros ... uma opção
  9. 9. Proteção ineficiente no transporte dos dados Vamos então ao socket SSL ....
  10. 10. Fornecimento de informações sensíveis
  11. 11. Dados sensíveis capturados por inputs inseguros
  12. 12. Controles de autorização e autenticação fracos /data/system/accounts.db
  13. 13. Problema Isso não resolve!!!!! md5(sha1(password)) md5(md5(salt) + md5(password)) sha1(sha1(password)) Criptografia Fraca
  14. 14. Controles frágeis do lado servidor
  15. 15. Captura de Sessão
  16. 16. Para finalizar Para desenvolver um aplicativo seguro, não basta utilizar as melhores tecnologias; não basta ser excelente tecnicamente se você não estiver conectado ao negócio e entender quais os impactos negativos para imagem do seu produto, caso uma vulnerabilidade seja explorada com sucesso.
  17. 17. Obrigado! Augusto Marinho augustomarinho@conteudoatual.com.br

×