FenixEdu™

Dissertação

{en_GB=DroidSF - A framework for security analysis of mobile applications} {} EVALUATED

Detalhes: {pt=Dispositivos móveis, especialmente smartphones, são cada vez mais um alvo valioso para agentes mal-intencionados, pois é habitual conterem informação importante que pode ser utilizada contra o seu utilizador. Com o aumento de dispositivos móveis ligados à Internet, é essencial que existam ferramentas e documentação que possibilitem uma análise completa de segurança em aplicações móveis. Acreditamos que este conhecimento pode ajudar programadores a serem mais conscientes sobre perigos de segurança e a implementar código robusto seguindo as práticas recomendadas pela indústria. Para podermos analisar a segurança de uma aplicação móvel Android é imperativo entender como estas são desenvolvidas e como operam nos dispositivos em tempo de execução. Com isto em mente, forneceremos detalhes sobre o funcionamento interno da plataforma Android, com especial atenção a funcionalidades relacionadas com segurança e privacidade. Esta dissertação procura identificar técnicas e ferramentas capazes de analisar aplicações concebidas para dispositivos móveis Android, com o objetivo de obter informação sobre as operações que estas realizam em segundo plano. Durante a realização desta tese, implementámos uma plataforma que aglomera diversas ferramentas frequentemente usadas para facilitar o processo introspeção e análise de aplicações Android. Desenhamos a nossa plataforma para ser completamente automática, fácil de utilizar e extensível. Ao longo da dissertação vamos focar-nos em técnicas de engenharia reversa que permitam inspecionar os componentes críticos de uma aplicação, identificados pelo documento OWASP Top 10 Security Risks., en=Mobile devices, specially smart-phones, are an increasingly valuable target for bad actors as they often hold important personal information, that can potentially be exploited against its user. With the growing number of mobile devices connected to the internet, it's imperative that we develop tools and document how to perform an in-depth analysis of mobile applications. We believe this knowledge will help software developers, and even users, to be more conscious about security and implement better code following the recommended practices. This thesis will cover techniques and software one can use to analyse how an Android application was built and gain insight to what it does in background. To be able to evaluate the security of an Android mobile application it's imperative to understand how they are developed, assembled and how they operate on devices at runtime. With this in mind, we will provide details about the inner-workings of the Android platform, with special attention to its security features. A framework was produced along side this thesis, that aggregates frequently used tools to facilitate the security analysis process. Our framework was designed to be a fully automated, easy to use and extendable. These characteristics seek to promote a good starting point for anyone that wants to analyse the behaviour of mobile applications and develop systematic tests to help assert their overall security level. We'll focus on methodologies that allow us to inspect critical components of the application as described by the OWASP Top 10 Security Risks.}
Keywords: {pt=Análise de segurança, Aplicações Android, Segurança em dispositivos móveis, Engenharia reversa, Análise estática, Analise dinâmica, en=Security analysis, Android applications, Mobile security, Reverse engineering, Static analysis, Dynamic analysis}

Discussão: junho 18, 2019, 13:0