Mobile: Insecure Data Storage
Imagem: Google
Insecure Data Storage
é uma vulnerabilidade relativa ao armazenamento inseguro de dados, geralmente
encontrada em aplicações mobile, e está listada entre os top 10 da Owasp. Ocorre que dados como: credenciais de usuários, tokens de autenticação, cookies, localização geográfica, números de cartões de crédito, entre outros, necessitam da implementação de algum mecanismo de segurança para controle da sua exposição.
Um cenário comum de exploração pode ser facilmente conjecturado, supondo a perda ou o roubo do dispositivo.
Um cenário comum de exploração pode ser facilmente conjecturado, supondo a perda ou o roubo do dispositivo.
Nesta situação
hipotética, um atacante consegue acesso físico ao equipamento, possibilitando,
por exemplo, a conexão entre o equipamento e um desktop previamente configurado
para ser utilizado no ataque, provido de ferramentas especificas (adb), que
permitem ao atacante visualizar os diretórios de aplicativos de terceiros que
geralmente contêm informações sensíveis armazenadas.
Como se prevenir
A regra básica seria
apagar os dados após o uso, tão logo não sejam mais necessários, ou seja, excluir
os dados assim que o usuário sair do app ou quando encerrar a sessão. Muitas
vezes há conflito com a regra de negócio estabelecida, como
alternativa a orientação é não utilizar local de armazenamento externo, como o
sd-card ou plist files, sempre usar algoritmos hash para o armazenar dados
sensíveis e considerar as implicações caso o device esteja com jailbreak ou com
root.
Em adição, pode se criar um modelo de ameaças para o app, sistema operacional, plataforma e framework, entendendo como se processam todas as informações e como as APIs lidam com esses dados. Tendo em vista que em uma outra aplicação, instalada em um device com root ou com jailbreak, poderá ter acesso a qualquer arquivo ou dado inserido no device, inclusive dados reconhecidos como sensíveis.
Referencias:
0 comentários: