1

30 / 04 / 2015/// Mobile Application (In) Security

Cláudio André

Herman Duarte

2

• Enquadramento

• Componentes de uma Mobile App

• OWASP Mobile Top 10

• Exemplos práticos

• Impacto no Negócio

• Como proteger o ecossistema

• Q&A

/// Agenda

2

3

/// Quem é o seu melhor amigo ?

3

4 4

5

/// Foi em tempos

5

6 6

7 7

8 8

9 9

1010

11

Cliente

11

1212

Rede

1313

Servidor

1414

1515

1616

1717

1818

1919

2020

2121

2222

2323

2424

25

/// M2 - Insecure Data Storage

25

2626

/// M4 - Unintended Data Leakage

2727

/// M6 - Broken Cryptography

2828

/// M7 - Client Side Injection

2929

/// M10 - Lack of Binary Protections

3030

/// M10 - Lack of Binary Protections

3131

/// Impacto no Negócio

3232

/// Impacto no Negócio

Data Leakage

3333

/// Impacto no Negócio

Data Leakage

Financial data compromise

3434

/// Impacto no Negócio

Data Leakage

Identity Theft

Financial data compromise

3535

/// Impacto no Negócio

Data Leakage

Identity Theft

Fraud

Financial data compromise

3636

/// Impacto no Negócio

Data Leakage

Identity Theft

Fraud

Reputation Damage

Financial data compromise

3737

/// Impacto no Negócio

Data Leakage

Identity Theft

Fraud

Reputation Damage

Financial data compromise

PCI Violations

3838

/// Como proteger o Ecossistema

39

Defense-In-Depth

39

/// Como proteger o Ecossistema

40

Defense-In-Depth

40

Developer Awareness and Training

/// Como proteger o Ecossistema

41

Defense-In-Depth

Secure Development Best Practises (OWASP)

41

Developer Awareness and Training

/// Como proteger o Ecossistema

42

Defense-In-Depth

Secure Development Best Practises (OWASP)

Threat Modeling

42

Developer Awareness and Training

/// Como proteger o Ecossistema

43

Defense-In-Depth

Secure Development Best Practises (OWASP)

Threat Modeling

Continuous Penetration Testing

43

Developer Awareness and Training

/// Como proteger o Ecossistema

44

Questões ?

44