| Título: | Segurança em aplicações Android : uma comparação de ferramentas de análise estática |
| Autor(es): | Corrêa, Kleidson Alves
Fonseca, Lucas Rodrigues |
| Orientador(es): | Venson, Elaine |
| Assunto: | Aplicativos
Software - segurança |
| Data de apresentação: | 18-Dez-2023 |
| Data de publicação: | 31-Jul-2024 |
| Referência: | CORRÊA, Kleidson Alves; FONSECA, Lucas Rodrigues. Segurança em aplicações Android: uma comparação de ferramentas de análise estática 2023. 81 f., il. Trabalho de Conclusão de Curso (Bacharelado em Engenharia de Software) — Universidade de Brasília, Brasília, 2023. |
| Resumo: | O número de aplicações para dispositivos móveis cresce constantemente e atinge as mais
diversas áreas, tais como entretenimento, saúde e mercado financeiro. Por conta disso, o
uso de aplicações nesses dispositivos se tornou muito comum. Elas podem ser utilizadas
para realizar um grande número de tarefas do dia a dia, inclusive aquelas com alto grau
de criticidade. Com isso, destaca-se a importância da proteção desses aplicativos contra
ataques maliciosos. Para auxiliar nessa tarefa, durante o ciclo de desenvolvimento de soft ware, recomenda-se a realização de testes estáticos de segurança, como a análise estática,
a qual pode ser otimizada por meio do uso de ferramentas. Diante disso, o objetivo deste
trabalho é apresentar um comparativo entre algumas das principais ferramentas gratuitas
de análise estática de código quanto a sua capacidade de detecção das principais vulne rabilidades em aplicações móveis de acordo com o Mobile Top 10 do projeto OWASP.
Para isso, realiza-se o mapeamento dos resultados obtidos com a execução das ferramen tas em uma amostra de aplicações Android para as vulnerabilidades listadas pelo projeto
OWASP. Ao final, é possível compreender quais procedimentos foram adotados para a rea lização do estudo, desde a execução dos testes até a comparação das ferramentas. Também
são observados os pontos positivos e negativos das ferramentas, as quais são comparadas
sob diferentes perspectivas, incluindo a precisão na detecção das vulnerabilidades com
relação aos falsos positivos, tempo levado para concluir os testes e capacidade de detectar
diversos tipos de vulnerabilidades do OWASP Mobile Top 10. Além disso, são listadas as
vulnerabilidades que foram mais identificadas no contexto de aplicações móveis. |
| Abstract: | The number of applications for mobile devices is constantly growing and reaches various
areas, such as entertainment, healthcare and the financial market. As a result, the use
of applications on these devices has become very common. They can be used to perform
a wide range of everyday tasks, including those with a high degree of criticality. This
highlights the importance of protecting these applications against malicious attacks. To
assist in this task, during the software development cycle, it is recommended to carry out
static security testing, such as static analysis, which can be optimized through the use of
tools. Therefore, the goal is to present a comparison between some of the main free static
code analysis tools regarding their ability to detect the main vulnerabilities in mobile
applications according to the Mobile Top 10 of the OWASP project. For this purpose, the
results obtained with the execution of the tools in a sample of Android applications are
mapped to the vulnerabilities listed by the OWASP project. In the end, it is possible to
understand which procedures were adopted for the study, from test execution to tool com parison. The positive and negative aspects of the tools are also noted, which are compared
from different perspectives, including precision in detecting vulnerabilities in relation to
false positives, time taken to complete the tests, and the ability to detect different types
of vulnerabilities from the OWASP Mobile Top 10. Furthermore, the vulnerabilities that
were most identified in the context of mobile applications are listed. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade UnB Gama, 2023. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Software
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
