Skip to content

Blog

  • 4 min read

Guardsquare Atinge o Status de MAS Advocate

Estamos muito felizes em anunciar que a Guardsquare foi oficialmente reconhecida com o status de MAS Advocate, o mais alto reconhecimento possível dentro do projeto OWASP Mobile Application Security (MAS).

Esse status não é concedido levianamente. Ele é reservado para organizações que demonstraram contribuições consistentes e de alto impacto durante um período sustentado, dedicando não apenas recursos técnicos, mas um comprometimento genuíno e paixão pelo projeto OWASP MAS, indo além de contribuições eventuais, conforme estabelecido em nossas diretrizes oficiais. O caminho para se tornar um MAS Advocate exige pelo menos seis meses de apoio comprovado e impactante e, na prática, muitas vezes leva muito mais tempo, dependendo do escopo e da profundidade das contribuições.

O Comprometimento da Guardsquare

Desde sua candidatura em 7 de fevereiro de 2023, a Guardsquare tem atendido cada vez mais às nossas expectativas e, em muitas ocasiões, as superou. Embora o processo de MAS Advocate exija um mínimo de seis meses de engajamento consistente, sua jornada se estendeu muito além disso, refletindo a profundidade, consistência e impacto de suas contribuições.

Alguns destaques do envolvimento da Guardsquare incluem:

  • Participação ativa no MAS Task Force: A Guardsquare tem sido uma presença constante em nossas reuniões mensais, trazendo ideias, fazendo perguntas e impulsionando proativamente iniciativas centrais.
  • Contribuições consistentes e de alto valor: Incluindo inúmeros pull requests, muitos focados na migração de testes da v1 para a v2, sempre com demonstrações completas e documentação.
  • Revisões por pares e liderança intelectual: Fornecendo feedback detalhado e acionável em pull requests e issues, ajudando a manter a qualidade e a integridade do MASTG e da ambiciosa refatoração para a v2.

Seu envolvimento culminou em um grande marco durante a OWASP Project Summit em novembro de 2024. Esse evento de cinco dias reuniu especialistas em segurança móvel de todo o mundo. Entre os cerca de 40 pull requests criados durante a summit, a maioria foi contribuída pela equipe da Guardsquare: Dennis Titze, Jan Seredynski, Nuno Antunes e Pascal Jungblut.

Por Que Eles Se Comprometeram e Por Que Isso Importa

Perguntamos à equipe da Guardsquare por que decidiram se comprometer com o OWASP MAS. Aqui está o que eles disseram:

"Reconhecemos que os padrões típicos de segurança de aplicações carecem da precisão e nuance relevantes para as arquiteturas de aplicações móveis. Sentimos que o projeto OWASP MAS estava indo na direção certa ao fornecer orientações muito mais específicas e acionáveis para equipes de desenvolvimento móvel sobre como proteger suas aplicações." — Ryan Lloyd

Uma Situação Ganha-Ganha

Suas contribuições não apenas beneficiaram o projeto OWASP MAS e sua comunidade, mas também tiveram um impacto direto na própria equipe e ofertas da Guardsquare:

"Nossa participação aumentou a conscientização sobre segurança de aplicativos móveis, algo que ainda é frequentemente deixado como segundo plano. Por meio de uma abordagem baseada em padrões, estamos ajudando a trazer tópicos vitais de segurança para o centro das atenções, o que, por sua vez, gera mais interesse em nossas soluções." — Ryan Lloyd

Além dos benefícios organizacionais, a participação no MAS tem sido uma experiência gratificante para os contribuidores individuais:

"Este projeto realmente expandiu minha perspectiva sobre segurança. Eu costumava me concentrar principalmente em engenharia reversa e resiliência, mas esse esforço me levou a novas áreas, como a categoria MASVS-STORAGE, que aprofundou minha compreensão de como os aplicativos móveis lidam com dados sensíveis." — Jan Seredynski

"O projeto me deu a oportunidade de me conectar com pessoas de diversas origens, gerando conversas dinâmicas sobre práticas seguras de implementação. Tem sido muito gratificante ver os padrões evoluírem como resultado dessas colaborações." — Dennis Titze

Um Modelo a Ser Seguido por Outros

A jornada da Guardsquare é um modelo de como as empresas podem se envolver de forma significativa com padrões abertos de segurança. Seu comprometimento, que continua em 2025 e além, estabelece um exemplo poderoso.

"O cenário de segurança de aplicativos móveis se beneficia enormemente de perspectivas diversas. Ao expandir a base de contribuição, podemos oferecer mais profundidade e amplitude nos recursos que fornecemos à comunidade e alcançar nosso objetivo de uma refatoração completa do MASVS/MASTG mais rapidamente." — Ryan Lloyd

Esperamos que outros sigam seu exemplo. Sua história mostra o que é possível quando uma empresa dedica tempo, talento e coração para melhorar o estado da segurança de aplicações móveis.

Pronto para Participar?

Se sua organização é apaixonada por segurança móvel e está pronta para causar um impacto real, considere participar do MAS Task Force. Seja contribuindo com testes, revisando PRs ou ajudando a moldar a próxima geração de padrões, há um lugar para você.

Você pode ler mais sobre o status de MAS Advocate e nossos outros contribuidores em nosso site.

Parabéns mais uma vez à Guardsquare, estamos orgulhosos de tê-los a bordo como MAS Advocate!

  • 7 min read

Celebrando 3 Anos da NowSecure como OWASP MAS Advocate

Poucas parcerias foram tão impactantes quanto a entre NowSecure e o projeto OWASP Mobile App Security (MAS). Hoje, enquanto celebramos três anos da NowSecure como OWASP MAS Advocate, refletimos sobre uma jornada marcada por inovação, colaboração e melhoria contínua que estabeleceu o modelo para futuras parcerias do setor.

Ser uma Advocate MAS significa fazer contribuições de alto impacto. A NowSecure tem entregado consistentemente, oferecendo tempo dedicado de especialistas-chave, especialmente o líder do projeto Carlos Holguera, e prestando suporte adicional sempre que necessário.

O GitHub conta uma história convincente sobre o envolvimento da NowSecure no projeto OWASP MAS nos últimos três anos:

  • 320+ Pull Requests
  • 230+ Reviews
  • 42.000+ Adições
  • 29.500+ Exclusões

Esses números refletem mais do que apenas atividade, eles demonstram liderança. A NowSecure melhorou significativamente os recursos do OWASP MAS ao contribuir com conteúdo valioso, revisar submissões da comunidade e manter a clareza e qualidade geral do projeto.

Mas vai além dos números. A NowSecure tem sido uma força motriz por trás da evolução do projeto OWASP MAS, fornecendo insights estratégicos, expertise técnica e um compromisso com a excelência que moldou nossa direção e impacto. Abaixo, revisitamos os marcos e contribuições principais dos últimos anos, uma linha do tempo que destaca o valioso papel que a NowSecure desempenhou em cada etapa da evolução do projeto MAS.

Rebranding de MSTG para OWASP MAS

Em agosto de 2022, anunciamos uma reformulação da marca do projeto, anteriormente conhecido como "OWASP Mobile Security Testing Guide (MSTG)". A nova identidade, OWASP Mobile App Security (MAS), reflete melhor o escopo completo do nosso projeto, desde o MAS Verification Standard (MASVS) e o MAS Testing Guide (MASTG) até listas de verificação e crackmes. E posteriormente, o Mobile App Security Weakness Enumeration (MASWE).

NowSecure forneceu insight estratégico e perspectiva do setor que ajudou a esclarecer o escopo e a mensagem do projeto. Seu feedback inicial garantiu que a nova marca não apenas ressoasse com a comunidade, mas também estabelecesse uma direção clara para futuras melhorias.

Lançamento do MASVS v2.0.0

Abril de 2023 viu o lançamento do MASVS v2.0.0, um grande marco que redefiniu os padrões de segurança de aplicativos móveis. Esta versão introduziu melhorias cruciais:

  • Abstração e Simplificação: Controles redundantes foram removidos, tornando o MASVS mais acessível para desenvolvedores.
  • Clareza através da Padronização: Aproveitar e referenciar padrões bem estabelecidos garantiu que nossos controles fossem claros e acionáveis.
  • Introdução dos Perfis de Teste MAS: A transição dos "níveis" anteriores para novos "perfis" permitiu avaliações mais personalizadas em cenários do mundo real.

A expertise técnica e o feedback contínuo da NowSecure durante o processo de desenvolvimento foram fundamentais. Seus cenários de teste do mundo real e a revisão rigorosa das mudanças propostas ajudaram a moldar um padrão que atende verdadeiramente às necessidades dos profissionais modernos de segurança de aplicativos móveis.

Refatoração do MASTG Parte 1: Perfis de Teste e Testes Atômicos

Em julho de 2023, anunciamos a primeira fase da refatoração do MASTG, incluindo:

  • Novos Perfis de Teste MAS: Substituindo os níveis de verificação tradicionais por "perfis" respaldados por cenários do mundo real. Essa mudança permite avaliações mais personalizadas, facilitando a compreensão do contexto e da aplicabilidade de cada teste.
  • Testes Atômicos: Dividir testes grandes em unidades menores e autônomas reduziu ambiguidades e melhorou a rastreabilidade.

Durante esse processo, as revisões técnicas detalhadas e os testes piloto da NowSecure foram inestimáveis. Sua disposição para experimentar versões iniciais dos testes refatorados garantiu que a nova estrutura fosse robusta e prática para aplicação no mundo real, aprimorando, em última análise, a qualidade e a consistência geral do MASTG.

Refatoração do MASTG Parte 2 - Modularizando a Estrutura

Posteriormente, em setembro de 2023, anunciamos a segunda fase da refatoração do MASTG, focando em uma abordagem modular:

  • O guia foi reorganizado em componentes distintos — Testes, Técnicas, Ferramentas e Aplicativos — facilitando a localização e referência de conteúdo específico.
  • Essa modularidade melhora a referência cruzada e a capacidade de manutenção da estrutura geral.

A NowSecure forneceu feedback crítico sobre o processo de modularização e realizou a implementação da nova estrutura. Seus insights sobre como os profissionais de segurança interagem com o MASTG ajudaram a moldar um recurso mais amigável e eficiente.

Introdução do MASVS-PRIVACY

Outubro de 2023 marcou uma expansão significativa em nosso escopo com a introdução do MASVS-PRIVACY como proposta, que posteriormente foi incluída no lançamento do MASVS v2.1.0 em janeiro de 2024 após uma revisão minuciosa pela comunidade e pelo setor.

A liderança da NowSecure em questões de segurança e privacidade móvel foi uma força motriz por trás dessa adição. Sua postura proativa sobre preocupações de privacidade e experiência prática com desafios de proteção de dados contribuíram para moldar uma base robusta que atende às demandas modernas de privacidade.

Força-Tarefa MAS

Em fevereiro de 2024, lançamos a Força-Tarefa MAS, um grupo focado de especialistas em segurança móvel que se reúnem mensalmente para impulsionar o roteiro do projeto MAS. Seus esforços incluem gerenciar issues no GitHub, refinar novos perfis e riscos MAS, atribuir tarefas e desenvolver trechos de código vulneráveis para Android e iOS. Atualmente, o grupo está focado em portar testes V1 para V2 em preparação para o MASTG V2.

O apoio contínuo da NowSecure desempenha um papel fundamental para tornar esta iniciativa possível. Ao permitir que Carlos Holguera dedique tempo e expertise para liderar o esforço, a força-tarefa manteve um forte momentum. Com uma combinação de profundidade técnica e direção estratégica, Carlos ajudou o grupo a priorizar efetivamente e impulsionar o projeto MAS com consistência e clareza.

Novos Aplicativos de Teste MAS e Demonstrações Padronizadas

Em maio de 2024, lançamos novos Aplicativos de Teste MAS para Android e iOS, projetados para facilitar o aprendizado e teste práticos. Esses aplicativos incluem:

  • Aplicativos Esqueleto (Skeleton Applications): Estruturas básicas para Android e iOS, permitindo que os usuários explorem e validem cenários de segurança.
  • Amostras de Código (Code Samples): Incorporadas nos aplicativos, estas amostras demonstram melhores (e piores) práticas e armadilhas comuns na segurança de aplicativos móveis.
  • Automação de Build (Build Automation): Utilizando GitHub Actions, automatizamos o processo de build e integração com o MASTG para estas demonstrações, garantindo que permaneçam atualizadas e funcionais.

A expertise da NowSecure em teste de segurança de aplicativos móveis foi inestimável no desenvolvimento desses aplicativos de teste. Seus insights sobre vulnerabilidades do mundo real e experiência prática com desafios de segurança móvel ajudaram a moldar o design e a funcionalidade dos aplicativos, garantindo que sejam práticos e eficazes para os usuários.

Introdução do OWASP MASWE

Julho de 2024 viu a introdução do Mobile App Security Weakness Enumeration (MASWE):

  • O MASWE preenche a lacuna entre os controles de alto nível do MASVS e os testes detalhados do MASTG.
  • Ele oferece uma visão granular de fraquezas específicas, melhorando a rastreabilidade desde os requisitos até os casos de teste individuais.

A revisão abrangente e o feedback detalhado da NowSecure sobre os rascunhos iniciais do MASWE foram críticos. Sua capacidade de identificar vulnerabilidades do mundo real e sugerir melhorias acionáveis ajudou a moldar o MASWE em uma ferramenta que complementa tanto o MASVS quanto o MASTG, garantindo que nossa estrutura permaneça holística e responsiva a ameaças emergentes.

OWASP Project Summit 2024

Em novembro de 2024, sediamos o OWASP Project Summit, onde a NowSecure liderou a trilha de segurança de aplicativos móveis. Este evento de cinco dias reuniu especialistas de várias empresas para discutir o futuro da segurança móvel, compartilhar insights e colaborar em soluções inovadoras. Durante a summit, cerca de 40 pull requests foram criados e inúmeras discussões foram realizadas.

A NowSecure desempenhou um papel fundamental ao revisar as contribuições e conduzir discussões técnicas, garantindo que as ideias geradas fossem acionáveis e alinhadas com os objetivos do projeto. Sob a liderança de Carlos Holguera, que ajudou a organizar e guiar a trilha, a NowSecure fomentou um ambiente de colaboração e compartilhamento de conhecimento — estabelecendo um alto padrão para futuros eventos da OWASP.

Olhando para o Futuro

Enquanto celebramos esta parceria de três anos, estamos animados com o que está por vir. Estas contribuições não são apenas marcos, são blocos de construção para o futuro. Graças ao incrível apoio da comunidade, à advocacia contínua e à paixão de organizações como a NowSecure, os próximos capítulos do projeto MAS prometem ainda mais inovação e impacto nos anos vindouros.

Convidamos você a se juntar a nós nesta jornada, compartilhar seus insights e contribuir para moldar o futuro da segurança móvel.

Obrigado, NowSecure, por ser um farol de excelência e um parceiro confiável em nossa missão de proteger aplicativos móveis em todo o mundo.

  • 6 min read

Introdução à nova Mobile App Security Weakness Enumeration (MASWE)

O projeto OWASP MAS continua liderando o caminho em segurança de aplicações móveis, fornecendo recursos robustos e atualizados para desenvolvedores e profissionais de segurança. Nossa equipe tem trabalhado diligentemente com a comunidade MAS e a indústria para refatorar o Mobile Application Security Verification Standard (MASVS) e o Mobile Application Security Testing Guide (MASTG). Nesta postagem de blog, vamos apresentar nossa mais recente adição ao projeto MAS: o novo Mobile App Security Weakness Enumeration (MASWE).

Refatorando o MASTG

Iniciamos o processo de refatoração em 2021, focando primeiro no MASVS e depois no MASTG. Nosso principal objetivo era dividir o MASTG v1 em componentes modulares, incluindo testes, técnicas, ferramentas e aplicações.

Essa abordagem modular nos permite manter e atualizar cada componente independentemente, garantindo que o MASTG permaneça atualizado e relevante. Por exemplo, em nossa estrutura anterior, o MASTG consistia em grandes casos de teste em um único arquivo markdown. Isso não apenas era difícil de manter, mas também tornava desafiador referenciar testes específicos; e era impossível ter metadados para cada teste.

A nova estrutura divide os testes em páginas individuais (arquivos Markdown com metadados), cada um com seu próprio ID (MASTG-TEST-****) e links para técnicas relevantes (MASTG-TECH-****) e ferramentas (MASTG-TOOL-****). Esse encapsulamento garante que cada teste seja facilmente referenciado e promova a reutilização em todos os componentes MAS. Por exemplo, você pode abrir um teste e ver quais ferramentas e técnicas estão sendo usadas, e em breve poderá fazer o mesmo de forma reversa: abrir uma ferramenta ou técnica e ver todos os testes que a utilizam. Essa referência cruzada profunda pode ser extremamente poderosa ao explorar o MASTG.

Apresentando o MASWE

Uma adição significativa ao nosso projeto é a introdução do MASWE, projetado para preencher a lacuna entre os controles de alto nível do MASVS e os testes de baixo nível do MASTG. O MASWE identifica fraquezas específicas em aplicações móveis, semelhante às Common Weakness Enumerations (CWEs) na indústria mais ampla de segurança de software. Essa nova camada fornece uma descrição detalhada de cada fraqueza, conectando a lacuna conceitual e tornando o processo de teste mais coerente.

Agora, MASVS, MASWE e MASTG estão todos perfeitamente conectados. Começamos com os requisitos de alto nível, focamos nas fraquezas específicas e depois vamos para o nível baixo dos testes e práticos com as demonstrações. Veja como funciona:

  1. Controles MASVS: Requisitos de alto nível independentes de plataforma.

    Por exemplo, "O aplicativo emprega criptografia atual e a utiliza de acordo com as melhores práticas." (MASVS-CRYPTO-1).

  2. Fraquezas MASWE: Fraquezas específicas, tipicamente também independentes de plataforma, relacionadas aos controles.

    Por exemplo, "uso de geração de números pseudoaleatórios previsíveis" (MASWE-0027).

  3. Testes MASTG: Cada fraqueza é avaliada executando testes que orientam o testador a identificar e mitigar os problemas usando várias ferramentas e técnicas em cada plataforma móvel.

    Por exemplo, testar "uso inseguro de API aleatória no Android" (MASTG-TEST-0204).

  4. Demonstrações MASTG: Demonstrações práticas que incluem amostras de código funcionais e scripts de teste para garantir reprodutibilidade e confiabilidade.

    Por exemplo, uma amostra usando Random() do Java em vez de SecureRandom() (MASTG-DEMO-0007).

Aplicações Práticas e Demonstrações

Para garantir que nossas diretrizes sejam práticas e confiáveis, desenvolvemos novos MAS Test Apps para Android e iOS.

Essas aplicações simples, esqueléticas, são projetadas para incorporar amostras de código diretamente, permitindo que os usuários validem e experimentem as demonstrações fornecidas. Essa abordagem garante que todas as amostras de código sejam funcionais e atualizadas, promovendo uma experiência de aprendizado prática.

Por exemplo, para testar o armazenamento seguro, MASTG-DEMO-0002 mostra como usar análise dinâmica com Frida para identificar os problemas no código. A demonstração inclui:

  • uma amostra de código Kotlin (pronta para ser copiada para o aplicativo e executada em um dispositivo)
  • as etapas de teste específicas para este caso usando Frida
  • o script shell incluindo o comando Frida
  • o script frida a ser injetado
  • a saída com explicações
  • a avaliação final do teste

Você pode executar tudo em seu próprio dispositivo e validar os resultados sozinho! Basta clonar o repositório e navegar até a pasta de demonstração, instalar o Frida no seu computador e no seu dispositivo Android, e seguir as etapas.

🧪 Essas demonstrações também podem ser usadas como áreas de experimentação para melhorar suas habilidades e praticar com diferentes casos enquanto você estuda segurança de aplicações móveis com o MASTG. Por exemplo, você pode tentar fazer engenharia reversa do aplicativo e ver se consegue encontrar os mesmos problemas da demonstração, ou pode tentar corrigir os problemas e ver se consegue validar a correção.

Elas também são ótimas para pesquisadores avançados e pentesters validarem rapidamente certos cenários. Por exemplo, é muito comum encontrar casos em que o Android se comporta de forma diferente dependendo da versão ou do fabricante. Com essas demonstrações, você pode rapidamente validar se um determinado problema está presente em um dispositivo ou versão do Android específicos.

Automação com GitHub Actions

Daqui para frente, queremos automatizar o processo de criação e validação das novas demonstrações e garantir que os testes permaneçam funcionais ao longo do tempo. Usaremos o GitHub Actions para isso. Aqui está o plano:

  1. Compilar o aplicativo: Compilar automaticamente o APK/IPA para Android e iOS.
  2. Implantar o aplicativo em um dispositivo virtual: instalar e executar o aplicativo gerado em um dispositivo virtual.
  3. Executar testes e validar resultados: Executar testes estáticos com ferramentas como semgrep ou radare2, bem como testes dinâmicos usando Frida e mitmproxy no dispositivo alvo. Finalmente, comparar os resultados dos testes com a saída esperada.

Atualmente, implementamos uma prova de conceito para a primeira etapa (apenas para APKs Android) e estamos trabalhando nas próximas etapas. Se você estiver interessado em contribuir para esse esforço, por favor nos avise!

Queremos seu Feedback

Encorajamos você a explorar o novo MASWE, testes MASTG e demonstrações MASTG. Suas percepções e experiências são inestimáveis para nós, e convidamos você a compartilhar seu feedback em nossas discussões do GitHub para nos ajudar a continuar melhorando. Dessa forma, podemos garantir que nossos recursos sejam práticos, confiáveis e valiosos para aplicações do mundo real.

Você também pode contribuir para o projeto criando novas fraquezas, testes, técnicas, ferramentas ou demonstrações. Acolhemos todas as contribuições e feedback, e esperamos trabalhar com você para tornar o projeto MAS o melhor possível.

:simple-github: Vá para nosso repositório no GitHub e verifique nossos [milestones](https://github.com/OWASP/mastg/milestones) e [discussões do GitHub](https://github.com/OWASP/mastg/discussions/categories/maswe-mastg-v2-beta-Feedback).
  • 1 min read

Novo Padrão para Transações Seguras em Mobile Apps

A Agência de Cibersegurança de Singapura (CSA) lançou o "Padrão de Aplicativo Seguro" em 10 de janeiro de 2024. Desenvolvido para desenvolvedores e provedores de serviços locais, esse guia é baseado no OWASP Mobile Application Security Verification Standard (MASVS) e foca em áreas críticas como autenticação e autorização (MASVS-AUTH), armazenamento de dados (MASVS-STORAGE) e resistência à adulteração (MASVS-RESILIENCE). A iniciativa visa proteger aplicativos contra ameaças cibernéticas comuns e garantir um ambiente digital mais seguro para os usuários.

Embora o Padrão de Aplicativo Seguro seja um avanço significativo na proteção de aplicativos móveis, recomenda-se que os desenvolvedores considerem o MASVS completo e selecionem os perfis MAS apropriados para uma proteção abrangente. Essa abordagem holística de segurança de aplicativos garante que eles vão além do mínimo necessário e estejam protegidos contra uma gama mais ampla de ameaças cibernéticas, proporcionando segurança robusta para os usuários finais.

  • 2 min read

MASVS-PRIVACIDADE

Os aplicativos móveis frequentemente acessam dados sensíveis do usuário para entregar suas funcionalidades principais. Esses dados variam desde informações pessoalmente identificáveis (PII), métricas de saúde, dados de localização, até identificadores de dispositivo. Os dispositivos móveis são companheiros constantes dos usuários, sempre conectados e equipados com diversos sensores—incluindo câmeras, microfones, GPS e BLE—que geram dados capazes de inferir comportamentos do usuário e até mesmo identificar indivíduos. O cenário é ainda mais complexo devido a técnicas avançadas de rastreamento, a integração de SDKs de terceiros e uma maior conscientização sobre questões de privacidade entre usuários e reguladores. Como resposta, há uma tendência crescente de processamento no dispositivo para manter os dados do usuário localizados e mais seguros.

  • 2 min read

MASTG Refatoração Parte 2 - Técnicas, Ferramentas e Aplicativos de Referência

Estamos muito animados em anunciar a segunda fase da reformulação do MASTG (Mobile Application Security Testing Guide). Essas mudanças visam melhorar a usabilidade e acessibilidade do MASTG.

O foco principal desta nova reformulação é a reorganização do conteúdo do MASTG em diferentes componentes, cada um alocado em sua seção/pasta dedicada e existindo agora como páginas individuais em nosso site (arquivos markdown com metadados/frontmatter no GitHub):

Nota: O texto contido na imagem permanece em inglês.

  • 2 min read

Solicitação de Revisão da Comunidade: Nova Fórmula de Avaliação de Risco para Aplicações Móveis

20 de setembro de 2023: Solicitação de Revisão da Comunidade: Nova Fórmula de Avaliação de Risco para Aplicações Móveis

Temos o prazer de anunciar o lançamento de um novo esforço colaborativo entre a indústria, a academia e o projeto OWASP Mobile Application Security (MAS). Este documento introduz uma fórmula inovadora projetada para medir o risco associado a aplicações móveis.

Destaques do Documento:

  • A fórmula é baseada no padrão do setor Mobile Application Security Verification Standard (MASVS).
  • Ela calcula o risco com base na probabilidade de uma aplicação ser comprometida e no impacto potencial desse comprometimento.
  • O documento também explora a possibilidade de uma avaliação de risco mais detalhada usando os testes do Mobile Application Security Testing Guide (MASTG).
  • Fornecemos uma visão geral da aplicação da fórmula em aplicativos individuais, bem como sua extensão para uma pontuação de risco em nível de dispositivo, com foco especial em aplicativos pré-instalados.
  • Por fim, o documento discute possíveis melhorias futuras, como a inclusão de dados dinâmicos do setor e fatores de escala de severidade, com a intenção de publicar um artigo acadêmico.

Chamada para Ação:

Convidamos você a revisar o documento e compartilhar seus comentários, feedback e sugestões. Suas contribuições são inestimáveis para nós e contribuirão significativamente para a versão final.

Prazo para Revisão: até 31 de outubro de 2023

Siga o link aqui para acessar o documento: https://docs.google.com/document/d/1dnjXoHpVL5YmZTqVEC9b9JOfu6EzQiizZAHVAeDoIlo/edit?usp=sharing

Ao colaborar nesta iniciativa, pretendemos fornecer uma estrutura estruturada e flexível para avaliação de riscos que ajude organizações e indivíduos a tomar decisões de segurança informadas. Aguardamos sua participação ativa e seu valioso feedback!

  • 3 min read

Perfis de Teste MAS e Testes Atômicos MASTG

A reformulação do MASTG é uma atualização significativa que aborda alguns desafios existentes e introduz novos recursos interessantes. Ela visa simplificar a conformidade, facilitar os testes e melhorar a usabilidade para testadores de segurança e outras partes interessadas.

Perfis de Teste MAS

Como parte da reformulação do MASVS, substituímos os três níveis tradicionais de verificação (L1, L2 e R) por perfis de teste de segurança no MASTG. Esses novos perfis foram projetados para melhorar nossa capacidade de capturar várias nuances de segurança associadas a aplicativos móveis, permitindo-nos avaliar diferentes situações para o mesmo controle do MASVS. Por exemplo, em MASVS-STORAGE-1, é aceitável armazenar dados não criptografados no armazenamento interno do aplicativo para MAS-L1, mas o MAS-L2 exige criptografia de dados.

Os novos Perfis de Teste MAS incluem versões reformuladas dos níveis tradicionais e uma nova adição:

Outra adição interessante que estamos explorando para um futuro próximo é um perfil de 'Privacidade', que se concentraria em testes que consideram as implicações de privacidade de vários recursos e funcionalidades do aplicativo. Acreditamos que este perfil pode se tornar uma ferramenta essencial em uma era onde a privacidade se tornou uma preocupação significativa.

PRECISAMOS DE AJUDA: Hoje estamos lançando os novos Perfis de Teste MAS e adoraríamos saber o que você pensa. Por favor, deixe seu feedback aqui até 31 de agosto de 2023.

Testes Atômicos

Uma das principais mudanças na reformulação do MASTG é a introdução dos novos Testes Atômicos do MASTG. Os testes existentes atualmente são bastante extensos e geralmente cobrem mais de um controle do MASVS. Com a introdução dos Testes Atômicos, vamos dividir esses testes em partes menores e mais gerenciáveis. Nosso objetivo é tornar esses testes o mais autossuficientes e específicos possível, permitindo reduzir ambiguidades, melhorar a compreensão e facilitar a execução. Cada teste atômico terá seu próprio ID único para fácil referência e rastreabilidade e será mapeado para os controles relevantes do MASVS.

Mas antes de começarmos a escrever os novos testes atômicos, precisamos finalizar a proposta para os novos Testes Atômicos do MASTG, incluindo mapeamentos para os controles do MASVS e os novos Perfis de Teste MAS.

PRECISAMOS DE AJUDA: Hoje estamos lançando a nova Proposta de Testes Atômicos do MASTG e adoraríamos saber o que você pensa. Por favor, deixe seu feedback aqui até 31 de agosto de 2023.

O Que Vem a Seguir?

Estamos agora no processo de transformar o MASTG, de acordo com as mudanças destacadas acima. Já lançamos o MASVS v2.0.0, e o restante do ano será dedicado à reformulação do MASTG, que envolverá a criação de centenas de novos testes. Acreditamos que essas mudanças melhorarão significativamente a usabilidade e a relevância do MASTG. Estamos animados em mantê-lo atualizado sobre nosso progresso e ansiosos por seu contínuo apoio e feedback.

Gostaríamos de estender um agradecimento especial à nossa Defensora MAS NowSecure. O compromisso deles com o projeto OWASP não é meramente financeiro; é um investimento de seu recurso mais valioso – seu pessoal e seu tempo. A NowSecure dedicou horas de expertise, conhecimento extenso e trabalho árduo para tornar essas mudanças uma realidade.

Gostaria de se tornar um Defensor MAS? Entre em contato conosco para saber mais.

Um enorme agradecimento vai, é claro, para nossa comunidade mais ampla e todos os nossos colaboradores. Sua participação e contribuição contínuas foram fundamentais para a evolução do projeto OWASP MAS. É através desse esforço colaborativo que podemos verdadeiramente avançar no campo da segurança de aplicativos móveis. Obrigado por fazer parte desta jornha!

Notas de tradução: - Todos os termos técnicos, nomes de organizações, empresas, tecnologias e acrônimos foram mantidos em inglês, conforme solicitado. - Links e referências permanecem inalterados. - Legendas de imagens não foram traduzidas pois não há texto visível nas imagens referenciadas.