Cálculo automático do nível de risco e ameaça no desenvolvimento de aplicações Android

Abstract

Utilizadores de dispositivos móveis disponibilizam cada vez mais os seus dados a aplicações posteriormente instaladas para fazerem um conjunto de operações importantes . É preciso ter em conta que esses dados muitas vezes são pessoais e sensíveis. As aplicações instaladas nesses dispositivos guardam localmente esses dados e são responsáveis pelo seu transporte na internet, deste modo, quem desenvolve essas aplicações tem a obrigação de proteger os dados. A segurança de uma aplicação deve ser logo implementada durante o desenvolvimento, os programadores devem ser educados relativamente a desenvolvimento seguro. Neste trabalho é proposto um sistema que permite efetuar uma classificação automática de risco para aplicações Android. O sistema devolve uma métrica numérica que representa o nível de segurança de uma aplicação chegando a este valor com a ajuda de ferramentas de análise estática. Deste modo, programadores têm apoio à decisão, podem definir os seus próprios limites em relação ao valor de risco mínimo que querem cumprir antes de publicar uma aplicação nas respetivas lojas. O mesmo aplica-se às lojas de aplicações que podem usar este sistema para controlo de qualidade filtrando aplicações ao definirem um valor de risco máximo. O sistema explica os valores de risco obtidos para que programadores e gestores de lojas de aplicação possam compreender melhor o risco envolvido na aplicação. De modo a validar o sistema implementado, foram realizados testes com várias aplicações descarregadas em lojas assim como a aplicações propositadamente vulneráveis. Desta forma podendo comparar o índice de risco calculado para cada uma delas.

Mobile device users make available their data more often to make a set of important operations using third-party applications. And it needs to be evident that this data, most of the times is personal and sensitive. The third party applications installed on those devices, locally store that data and are responsible for their transport over the internet, accordingly, who develops this apps has the obligatoriness to pretect the data. The security of na application must be implemented during its development, programmers must be educated to develop with security awreness. In this work we present an automated risk classification system for Android Apps. The system gives a numeric value that represents the security level of an app achieving this value with the help of static code analysis tools. With this system, developers have a support for decision, they can define their own limits relatively to the risk value they want to accomplish before publishing an app in the respective app stores. The same applies to app stores, they can use this system for quality control, filtering the apps by defining a maximum risk value. The system also allows developers and QA managers to understand how the risk was achieved to make them understand more the involved risk in the application. To validate the implemented system, it was performed a set of tests with apps downloaded from app stores as well as apps intentionally developed with vulnerabilities to compare the risk calculated between them.