Top 10 Vulnerabilidades

Vulnerabilidades android feito pela OWASP(Open Web Application Security Project).

O Top 10 vulnerabilidades android feito pela OWASP possui um resumo das categorias das principais vulnerabilidades no Android, segundo seu guia, o Mobile Security Testing Guide (MSTG), estas são:

1. Uso Impróprio da Plataforma: corresponde ao mal-uso de alguma feature ou falha em utilizar controles de segurança. No Android pode ser o mal-uso de intents, permissões, chamadas à API de terceiros ou até algum controle de segurança como Keychain (chaves de acesso privadas);

2. Armazenamento Inseguro de Dados: como o nome já diz, compreende o armazenamento de dados de maneira segura ou o seu vazamento não intencional. No Android, os dados podem ser vazados por exemplo, por meio de banco de dados SQLite, logs, XMLs com dados e cartão SD;

3. Comunicação Insegura: remete à problemas relacionados ao tráfego de rede do aplicativo, geralmente por não proteger os dados que estão sendo trocados com o servidor;

4. Autenticação Insegura: os controles de autenticação são falhos, principalmente porque no mundo mobile, não se sabe se o usuário vai estar online ou offline, assim dando margem, por exemplo, à execução de métodos no backend da aplicação;

5. Criptografia Insuficiente: o código aplica criptografia à alguma informação sensível, porém esta criptografia é insuficiente para proteger estes dados;

6. Autorização Insegura: o aplicativo não faz as decisões corretas de autorização. Um exemplo disso seria um usuário com menos privilégio executando uma função de alto privilégio enquanto o aplicativo está em modo off-line;

7. Qualidade do Código: nesta categoria haveriam todos os problemas relacionados à nível de implementação de código do lado do cliente, como buffer overflows, formatação de string e vários outros;

8. Adulteração de Código: modificação do código, memória dinâmica e dados do aplicativo por parte do atacante para obter vantagens pessoais ou monetárias;

9. Engenharia Reversa: compreende à análise de código binário, revelação de código fonte, algoritmos e outros recursos a nível de código da aplicação;

10.Funcionalidade Estranha: funcionalidades que foram utilizadas para propósitos de teste estão acidentalmente na versão release (lançamento) da aplicação.