Simple Science

Ciência de ponta explicada de forma simples

# Informática# Criptografia e segurança# Arquitetura de Hardware# Engenharia de software

Avaliando a Segurança dos Apps de Pagamento Móvel em Bangladesh

Um estudo revelou falhas de segurança em aplicativos de pagamento móvel populares.

― 7 min ler

Expondo as Falhas deExpondo as Falhas deSegurança em Apps Móveissegurança sérios.Bangladesh enfrentam riscos deOs apps de pagamento móvel em
Índice

Bangladesh tá fazendo um esforço brabo pra digitalizar sua infraestrutura, especialmente na área de pagamentos online e banco através de aplicativos móveis. Embora muita gente use esses apps todo dia, falta informação sobre a Segurança deles. Essa pesquisa analisa se esses aplicativos atendem aos padrões globais básicos de segurança. Fizemos uma análise completa de 17 apps móveis e um kit de desenvolvimento de software (SDK) usando ferramentas acessíveis. O objetivo era encontrar informações sensíveis e checar se os apps seguem o Padrão de Verificação de Segurança de Aplicativos Móveis (MASVS) estabelecido pela OWASP, uma organização focada em melhorar a segurança de software.

Contexto

Em 2016, rolou um grande golpe cibernético que tentou retirar 1 bilhão de dólares do Banco Central de Bangladesh. A maioria dos pedidos foi bloqueada, mas 81 milhões de dólares nunca foram devolvidos, destacando as sérias Vulnerabilidades de segurança nos sistemas financeiros do país. Esse incidente mostra a necessidade de uma pesquisa e segurança melhores no setor de pagamentos online e bancos.

A adaptação de Bangladesh à TI, especialmente nos setores financeiro e comercial, aumentou depois das recomendações do Banco de Bangladesh. Muitos serviços agora estão facilmente acessíveis por meio de aplicativos móveis como bKash e Nagad, permitindo que os usuários façam transações, paguem contas e conduzam atividades financeiras rapidamente. Embora essa transformação digital tenha facilitado muitos processos, levanta preocupações sobre a segurança desses aplicativos contra ameaças cibernéticas.

Uso de Aplicativos Móveis

Em 2020, Bangladesh tinha cerca de 170 milhões de conexões de celular, com um número significativo de usuários de internet móvel. A rápida transição para o banco móvel e serviços online tá abrindo caminho pro setor de fintech. A empresa norueguesa Telenor relatou uma receita considerável apenas no mercado de Bangladesh. Com a quantidade de dinheiro transacionado mensalmente quase igual a um quarto do orçamento nacional de Bangladesh, a importância de garantir a segurança desses aplicativos não pode ser subestimada.

Preocupações com a Segurança

Com o aumento da tecnologia, também surgem preocupações quanto à segurança dos aplicativos móveis. Ameaças cibernéticas são um perigo real, especialmente em um país em desenvolvimento como Bangladesh que depende muito da tecnologia. Como os aplicativos móveis são uma parte integral da vida diária, é crucial entender suas vulnerabilidades. Essas vulnerabilidades podem levar a vazamentos de dados, acesso não autorizado e outros problemas de segurança.

Foco da Pesquisa

Esse estudo foca em explorar a segurança de aplicativos móveis, particularmente aqueles que operam na plataforma Android devido à sua natureza de código aberto. Embora alguns estudos gerais tenham sido feitos sobre segurança de banco online, análises detalhadas dos serviços financeiros móveis foram escassas. Nossa pesquisa visa identificar vulnerabilidades potenciais, entender como elas podem ser exploradas e verificar se esses aplicativos aderem aos padrões globais de segurança.

Metodologia

A gente fez análises estáticas e dinâmicas pra entender a segurança dos aplicativos analisados. Usando várias ferramentas de código aberto, tentamos apontar quaisquer falhas de segurança. Nossa análise incluiu a avaliação de métodos de armazenamento de dados, práticas de criptografia, comunicações de rede e o uso de WebViews. Cada aplicativo passou por revisões manuais pra garantir que seguissem os protocolos de segurança consistentemente.

Ferramentas para Análise de Segurança

Usamos uma variedade de ferramentas para análise estática e dinâmica dos aplicativos. Algumas notáveis incluem:

  • AndroGuard: Uma ferramenta de código aberto pra analisar aplicativos Android que ajuda a detectar vulnerabilidades e malware.
  • APKTool: Usada pra decompilar arquivos APK e examinar sua estrutura e código.
  • MobSF: Uma estrutura projetada pra testes de segurança móvel pra escanear aplicativos em busca de vulnerabilidades.
  • Frida: Um toolkit útil pra análise dinâmica pra monitorar o comportamento do aplicativo durante a execução.

Essas ferramentas ajudam a identificar falhas de segurança no código e ajudam a automatizar partes da análise.

Vulnerabilidades Comuns

Durante nossa pesquisa, focamos em identificar as vulnerabilidades de segurança mais comuns com base nas diretrizes da OWASP. Essas incluem:

  1. Práticas fracas de armazenamento de dados
  2. Falhas nas implementações criptográficas
  3. Comunicações de rede inseguras
  4. Uso inseguro de WebViews

Cada uma dessas vulnerabilidades pode ter consequências severas se exploradas, levando a vazamentos de dados, acesso não autorizado ou roubo de identidade.

Descobertas da Análise

Depois de analisar 17 aplicativos e 1 SDK, nossas descobertas revelaram várias falhas de segurança:

  • Muitos aplicativos não usaram medidas suficientes pra proteger dados sensíveis.
  • Alguns aplicativos tinham práticas criptográficas fracas, tornando-os vulneráveis a ataques.
  • Comunicações de rede inseguras foram notadas em vários apps, criando potenciais pontos de acesso pros hackers.
  • O uso de WebViews geralmente não era adequadamente seguro, o que poderia levar a clickjacking e outros tipos de ataques.

Nossa análise indicou uma necessidade significativa de revisões manuais e mais testes pra garantir a conformidade com os padrões de segurança.

Resultados dos Testes dos Aplicativos

A gente avaliou vários aplicativos móveis amplamente usados em Bangladesh, incluindo vários aplicativos bancários e de serviços financeiros móveis. Esses aplicativos mostraram graus variados de adesão aos padrões de segurança. Enquanto alguns apps seguiam as melhores práticas, outros mostraram fraquezas significativas que poderiam ser exploradas.

Resumo dos Testes de Segurança

Durante nossos testes, categorizamos nossos resultados em conjuntos com base nas capacidades das ferramentas usadas:

  • Conjunto A: Aplicativos que não puderam ser analisados devido à incompatibilidade com as ferramentas de análise.
  • Conjunto B: Aplicativos que só puderam ser analisados parcialmente.
  • Conjunto C: Aplicativos que foram completamente analisáveis, revelando um conjunto total de vulnerabilidades.

Os resultados destacaram a necessidade de protocolos de segurança melhores em muitos aplicativos.

Problemas Encontrados Durante a Pesquisa

Vários desafios foram encontrados ao longo da pesquisa, como:

  • A falta de ferramentas de código aberto efetivas especificamente projetadas para nossa análise.
  • Dificuldades com aplicativos que usavam técnicas de ofuscação, o que tornava mais difícil entender o código.
  • O ritmo acelerado das atualizações dos desenvolvedores que tornava descobertas anteriores desatualizadas.

Apesar desses desafios, a necessidade de pesquisas contínuas em segurança nesse cenário em evolução é crucial.

Recomendações para Melhoria

Pra melhorar a segurança dos aplicativos móveis em Bangladesh, os desenvolvedores devem:

  • Implementar medidas de Proteção de Dados e métodos de criptografia mais robustos.
  • Garantir comunicações de rede seguras usando melhores práticas.
  • Conduzir auditorias de segurança regularmente em seus aplicativos pra identificar e corrigir vulnerabilidades.
  • Fazer uso de frameworks de segurança como o MASVS pra estabelecer diretrizes claras para o desenvolvimento.
  • Incentivar pesquisadores e especialistas em segurança a se envolverem mais com o setor de segurança de aplicativos móveis pra melhorar a segurança geral.

Conclusão

Esse estudo destaca as vulnerabilidades de segurança presentes em aplicativos populares de pagamento e bancários em Bangladesh. Embora muitos usuários dependam desses apps pra transações diárias, a segurança deles não está garantida. À medida que o cenário digital se expande, é essencial priorizar a segurança pra proteger os dados sensíveis dos usuários e manter a confiança nos serviços financeiros digitais.

Pesquisas e desenvolvimento contínuos nesse campo levarão a medidas de segurança melhoradas, melhor conformidade com os padrões globais e segurança geral aprimorada pros usuários em Bangladesh e além.

Fonte original

Título: An investigation of the Online Payment and Banking System Apps in Bangladesh

Resumo: Presently, Bangladesh is expending substantial efforts to digitize its national infrastructure, with a significant emphasis on achieving this goal through mobile applications that facilitate online payments and banking system advancements. Despite the lack of knowledge about the security level of these systems, they are currently in frequent use without much consideration. To observe whether they follow the minimum global set standards, we choose to conduct static and dynamic analysis of the applications using available open-source analyzers and open-source tools. This allows us to attempt to extract sensitive information, if possible, and determine whether the applications adhere to the standards of MASVS set by OWASP. We show how we analyzed 17 .apks and a SDK using open source scanner and discover security flaws to the applications, such as weaknesses related to data storage, vulnerable cryptographic elements, insecure network communications, and unsafe utilization of WebViews, detected by the scanner. These outputs demonstrate the need for extensive manual analysis of the application through source code review and dynamic analysis. We further implement reverse engineering and dynamic approach to verify the outputs and expose some applications do not comply with the standard method of network communication. Moreover, we attempt to verify the rest of the potential vulnerabilities in the next phase of our ongoing investigation.

Autores: Shahriar Hasan Mickey, Muhammad Nur Yanhaona

Última atualização: 2024-11-27 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2407.07766

Fonte PDF: https://arxiv.org/pdf/2407.07766

Licença: https://creativecommons.org/licenses/by/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Artigos semelhantes