O ataque Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext (BREACH) é um tipo de ataque de canal lateral que permite aos atacantes roubar informações importantes contidas nas respostas HTTP transferidas por meio de um canal habilitado por SSL/TLS. Todas as versões e cifras SSL/TLS existentes estão suscetíveis a esse ataque. Se estas três condições ocorrerem, um invasor poderá conseguir realizar um ataque BREACH com êxito contra o aplicativo:

1. O aplicativo transmite um segredo (por exemplo, um token anti-CSRF) na resposta.
2. O aplicativo reflete a entrada do usuário na mesma resposta que contém um segredo.
3. O servidor da Web está configurado para utilizar a compressão HTTP.

O tamanho de uma resposta comprimido usando Gzip é determinado pela quantidade de repetições observadas no conteúdo dele. Dessa maneira, quanto mais os caracteres forem repetidos, menor o tamanho da resposta se tornará. Isso permite a um invasor utilizar a compressão HTTP como um oráculo, o qual pode indicar se um palpite fornecido por um invasor ao aplicativo por meio do valor do parâmetro refletido está correto ou não. Se o caractere sugerido coincidir com o carácter correspondente no segredo, o tamanho da resposta comprimida será menor. O invasor pode usar esse processo para obter todo o segredo, caractere por caractere, por meio de uma análise da proporção de compressão de cada solicitação.

Um invasor pode usar esta técnica para extrair um segredo a partir das respostas HTTP, mesmo se o aplicativo estiver configurado para servir conteúdo por meio de um canal seguro.

Para avaliar se o aplicativo está vulnerável ao ataque BREACH, verifique primeiramente se o aplicativo está configurado para ativar a compactação HTTP. Caso positivo, para cada resposta que contiver um segredo a ser protegido, avalie se a entrada do usuário está incluída na mesma.

Esse problema é relatado porque o aplicativo Django foi configurado para usar os tokens CSRF e a compressão GZip:

MIDDLEWARE = (
  ...
  'django.middleware.csrf.CsrfViewMiddleware',
  'django.middleware.gzip.GZipMiddleware',
  ...
)

Vazamentos de informações de saúde privadas ocorrem quando:

1. As informações de saúde do usuário são inseridas no programa.

2. Os dados são gravados em um local externo, como o console, o sistema de arquivos ou a rede.
Exemplo 1: O código a seguir recupera o tipo sanguíneo do usuário do armazenamento HealthKit e o envia para um servidor enquanto o registra em log no dispositivo. Embora muitos desenvolvedores confiem nos arquivos de log como um local de armazenamento seguro para todos e quaisquer dados, eles não devem ser implicitamente confiáveis, especialmente quando a privacidade é uma preocupação.

    ...
    HKHealthStore healthStore = new HKHealthStore();
    HKBloodTypeObject blood = healthStore.GetBloodType(null);

    NSLog("%@", blood.BloodType);

	var urlWithParams = String.format(TOKEN_URL, block.BloodType);
	var responseString = await client.GetStringAsync(urlWithParams);
    ...

Observação: A API Apple Logging, que tem um nível inferior em relação à função NSLog, permite que um desenvolvedor crie um aplicativo que pode ler todos os logs no dispositivo (mesmo quando eles não são proprietários dos outros aplicativos).

Outras áreas de interesse para manter a privacidade dos dados do usuário surgem quando um dispositivo é perdido ou roubado. Uma vez em poder de um dispositivo iOS, um invasor pode acessar uma grande quantidade de dados conectando o dispositivo via USB. Arquivos como listas de propriedade iOS (iOS Property Lists, plists) e bancos de dados SQLite são facilmente acessados e podem revelar informações pessoais. Como regra geral, os detalhes de saúde privados não devem ser armazenados sem proteção no sistema de arquivos.

Exemplo 2: Este código adiciona um tipo sanguíneo do usuário à lista de padrões do usuário e os armazena imediatamente em um arquivo plist.

    ...
    HKHealthStore healthStore = new HKHealthStore();
    HKBloodTypeObject blood = healthStore.GetBloodType(null);

    // Add blood type to user defaults
	NSUserDefaults.StandardUserDefaults.SetString(blood.BloodType, "bloodType");
    ...

Em resposta ao tratamento inadequado dos dados privados, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Em relação às informações de saúde, uma organização pode ser obrigada a cumprir um ou mais dos seguintes regulamentos federais e estaduais:

- Safe Harbor Privacy Framework [2]

- Gramm-Leach Bliley Act (GLBA) [3]

- Health Insurance Portability and Accountability Act (HIPAA) [4]

- California SB-1386 [5]

Apesar dessas normas, violações de privacidade continuam a ocorrer com uma frequência alarmante.

Dados confidenciais (como senhas, números de previdência social, números de cartão de crédito etc.) armazenados na memória podem vazar se a memória não for apagada após o uso. Frequentemente, os Strings são usados para armazenar dados confidenciais, como os objetosString são imutáveis, apenas o coletor de lixo JVM pode remover o valor de um String da memória só pode ser feito pelo coletor de lixo da JVM. Não é necessário que o coletor de lixo seja executado, a menos que a JVM esteja com pouca memória, portanto, não há garantia de quando a coleta de lixo ocorrerá. No caso de uma falha do aplicativo, um despejo de memória do aplicativo pode revelar dados confidenciais.

Exemplo 1: O código a seguir converte uma senha de um array de caracteres em um String.

private JPasswordField pf;
...
final char[] password = pf.getPassword();
...
String passwordAsString = new String(password);

As solicitações HTTP que utilizam o método GET permitem que os parâmetros de URL e de solicitação sejam armazenados no cache de URL do navegador, nos proxies intermediários e nos logs do servidor. Isso poderia expor informações confidenciais a pessoas que não têm direitos apropriados aos dados.
Exemplo 1: Este código faz uma solicitação HTTP usando o método HTTP GET em vez de POST.

...
	NSString * const USER_URL = @"https://www.somesvr.com/someapp/user";
...
	NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:[NSURL URLWithString:USER_URL]];
	[request setHTTPMethod:@"GET"];
...

Exemplo 2: Se o aplicativo usa NSURLRequest, então o método HTTP padrão será GET.

...
	NSURLRequest *theRequest=[NSURLRequest requestWithURL:[NSURL URLWithString:@"http://www.apple.com/"]
                        cachePolicy:NSURLRequestUseProtocolCachePolicy
                    timeoutInterval:60.0];
	NSURLConnection *theConnection=[[NSURLConnection alloc] initWithRequest:theRequest delegate:self];
	if (theConnection) {
    	// Create the NSMutableData to hold the received data.
    	// receivedData is an instance variable declared elsewhere.
    		receivedData = [[NSMutableData data] retain];
	} else {
...

Ao criar uma instância de NSURLCredential que contém as credenciais do usuário na forma, em um par de nome do usuário/senha ou em um certificado de cliente, um atributo de persistência precisa ser definido. Os valores possíveis são:

- NSURLCredentialPersistenceNone: A credencial não deve ser armazenada.
- NSURLCredentialPersistenceForSession: A credencial deve ser armazenada somente para esta sessão.
- NSURLCredentialPersistencePermanent: A credencial deve ser armazenada no conjunto de chaves.
- NSURLCredentialPersistenceSynchronizable: A credencial deve ser armazenada permanentemente no conjunto de chaves e, além disso, deve ser distribuída para outros dispositivos, com base na Apple ID do proprietário.

O atributo NSURLCredentialPersistenceSynchronizable implica na distribuição da credencial e de seu armazenamento no ambiente de nuvem da Apple. Dependendo dos requisitos de privacidade do aplicativo, armazenar a credencial no ambiente de nuvem da Apple pode não ser aceitável.

Exemplo 1: O seguinte trecho de código cria uma credencial sincronizável que será distribuída para outros dispositivos e o iCloud:

    ...
    NSURLCredential *credential = [NSURLCredential credentialWithUser:user password:password persistence:NSURLCredentialPersistenceSynchronizable]; 
    NSURLCredentialStorage *shared = [NSURLCredentialStorage sharedCredentialStorage];
    [shared setDefaultCredential:credential forProtectionSpace:protectionSpace]; 
    ...

Violações de privacidade ocorrem quando dados confidenciais são mantidos persistentes no disco em um formato não criptografado.


Exemplo 1: O código ASPX a seguir instancia um controle DataVisualization que gera um gráfico de informações financeiras confidenciais a partir da Fonte de Dados XML SensitiveXMLData:

        <asp:Chart ID="Chart1" runat="server" ImageLocation="~/Temporary/Graph"
            ImageType="Jpeg" DataSourceID="SensitiveXMLData" ImageStorageMode="UseImageLocation">
            <series>
                .
                .
                .
            </series>
            <chartareas>
                <asp:ChartArea Name="ChartArea1">
                </asp:ChartArea>
            </chartareas>
        </asp:Chart>
  

O código no Example 1 instrui o controle Chart a produzir uma imagem JPEG do gráfico de barras e gravá-la no diretório temporário ~/Temporary/Graph. Depois que o controle gravar a imagem no disco, o navegador do usuário realizará uma solicitação posterior do arquivo e o exibirá para o usuário. A imagem não é gravada de forma segura no disco. Além disso, o código pressupõe que a infraestrutura subjacente protegerá o arquivo de acessos não autorizados por outro usuário.

Ao criar uma instância de NSURLCredential que contém as credenciais do usuário na forma, em um par de nome do usuário/senha ou em um certificado de cliente, um atributo de persistência precisa ser definido. Os valores possíveis são:

- NSURLCredentialPersistenceNone: A credencial não deve ser armazenada.
- NSURLCredentialPersistenceForSession: A credencial deve ser armazenada somente para esta sessão.
- NSURLCredentialPersistencePermanent: A credencial deve ser armazenada no conjunto de chaves.
- NSURLCredentialPersistenceSynchronizable: A credencial deve ser armazenada permanentemente no conjunto de chaves e, além disso, deve ser distribuída para outros dispositivos, com base na AppleID do proprietário.

Como as credenciais NSURLCredentialPersistenceSynchronizable são distribuídas para outros dispositivos e para o iCloud, a falha em remover completamente a credencial de todos os locais deixará instâncias que poderiam vazar.

Exemplo 1: O seguinte trecho de código cria uma credencial sincronizável, a usa e a remove localmente, mas não consegue removê-la de outros dispositivos e do iCloud:

    ...
    // Create the credential
	NSURLCredential *credential = [NSURLCredential credentialWithUser:user password:password persistence:NSURLCredentialPersistenceSynchronizable]; 
    NSURLCredentialStorage *shared = [NSURLCredentialStorage sharedCredentialStorage];
    [shared setDefaultCredential:credential forProtectionSpace:protectionSpace]; 

    // Use the credential as needed
    ...

    // Removes the credential
    [shared removeCredential:credential forProtectionSpace:protectionSpace];
    ...

As violações de privacidade ocorrem quando as informações privadas do usuário são armazenadas em um local desprotegido.
Exemplo 1: O XML a seguir contém informações privadas de um usuário em um arquivo plist. Entre outros valores que são armazenados, a chave MyCreditCard armazena um número de cartão de crédito em texto sem formatação associado à conta que é fornecido pelo usuário.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>password</key>
  <string>BASICSECRET</string>
  <key>credentials</key>
  <dict>
          <key>pin</key>
          <string>2345</string>
          <key>MyCreditCard</key>
          <string>1111 11 2321 1112</string>
          <key>MysSn</key>
          <string>1111-22-3333</string>
          <key>ssn</key>
          <string>2345-22-3345</string>
          <key>userid</key>
          <string>12345</string>
  </dict>
</dict>
</plist>

O código no Example 1 armazena informações particulares do usuário contidas no dispositivo móvel em um arquivo plist desprotegido que é armazenado nesse dispositivo. Embora muitos desenvolvedores confiem em arquivos plist como um local de armazenamento seguro para todos os tipos de dados, convém não confiar neles implicitamente, particularmente nos casos em que a privacidade é uma grande preocupação, pois esses arquivos podem ser lidos por qualquer usuário que venha a se apossar do dispositivo.

Dados privados podem entrar em um programa de várias maneiras:

- Diretamente do usuário, na forma de uma senha ou informações pessoais.

- Acessados de um banco de dados ou outro repositório de dados pelo aplicativo.

- Indiretamente de um parceiro ou de terceiros.

- Recuperados de armazenamentos de dados móveis, incluindo: Catálogo de endereços, fotos tiradas, geolocalização, arquivos de configuração (incluindo plist), mensagens SMS arquivadas, etc.

Às vezes, dados não rotulados como privados podem ter uma implicação de privacidade em um contexto diferente. Por exemplo, números de identificação de aluno geralmente não são considerados privados, pois não há um mapeamento explícito e publicamente disponível para as informações pessoais de um aluno individual. No entanto, se uma escola gerar a identificação de aluno com base nos números de segurança social de alunos, esses números de identificação deverão ser considerados privados.

Preocupações de segurança e privacidade muitas vezes parecem competir umas com as outras. Sob o ponto de vista da segurança, você deve registrar todas as operações importantes para que qualquer atividade anormal possa ser identificada mais tarde. No entanto, quando dados privados estão envolvidos, essa prática pode gerar riscos extras.

Embora existam muitas maneiras de manipular dados privados sem segurança, um risco comum está relacionado a equívocos de confiança. Os programadores muitas vezes confiam no ambiente operacional em que um programa é executado e, portanto, julgam aceitável armazenar informações privadas no sistema de arquivos, no registro, dentro de plists ou em outros recursos localmente controlados. No entanto, mesmo se o acesso a determinados recursos for restrito, isso não garante que os indivíduos que possuem esse acesso devam receber esses dados com confiança. Por exemplo, em 2004, um funcionário sem escrúpulos da AOL vendeu cerca de 92 milhões de endereços de email privados de clientes para um remetente de spam que comercializava um site de jogatina em atividade fora do país [1].

Em resposta a tais explorações notórias, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Dependendo da sua localização, do tipo de negócios administrado e da natureza de quaisquer dados privados que ela manipule, uma organização pode ser obrigada a cumprir uma ou mais das seguintes normas federais e estaduais:

- Safe Harbor Privacy Framework [3]

- GLBA (Gramm-Leach Bliley Act) [4]

- HIPAA (Health Insurance Portability and Accountability Act) [5]

- California SB-1386 [6]

Apesar dessas normas, violações de privacidade continuam a ocorrer com frequência alarmante.

O campo identificado não desabilita o mecanismo de cache de teclado do iOS. Como resultado, qualquer informação confidencial inserida no campo recentemente será armazenada em cache pelo iOS em um esforço para melhorar a funcionalidade de correção automática.

Exemplo 1: A entrada inserida em um campo de texto confidencial é armazenada no cache de teclado do sistema:

ViewController.h
...

@property (nonatomic, retain) IBOutlet UITextField *ssnField;

...

O código no Example 1 indica que o aplicativo utiliza um controle de entrada projetado para coletar informações confidenciais. Como o iOS armazena entradas de campos de texto em cache para melhorar o desempenho da respectiva funcionalidade de correção automática, todas as informações inseridas recentemente nesse controle de entrada podem ser armazenadas em cache em um arquivo de cache de teclado salvo no sistema de arquivos. Uma vez que o arquivo de cache do teclado é armazenado no dispositivo, se o dispositivo for perdido poderá ser recuperado, revelando assim quaisquer informações confidenciais contidas nele.

Dados privados podem entrar em um programa de várias maneiras:

- Diretamente do usuário em formato de senha ou informações pessoais.

- Acessados a partir de um banco de dados ou outro repositório de dados pelo aplicativo.

- Indiretamente de um parceiro ou de terceiros.

- Recuperados de repositórios de dados móveis, entre eles: catálogo de endereços, fotos tiradas, geolocalização, arquivos de configuração, mensagens SMS arquivadas, etc.

Às vezes, os dados que não tenham sido rotulados como privados podem ter uma implicação de privacidade em um contexto diferente. Por exemplo, números de identificação de aluno geralmente não são considerados privados, pois não há um mapeamento explícito e publicamente disponível para as informações pessoais de um aluno individual. No entanto, se uma escola gerar números de identificação de alunos com base em números de segurança social de alunos, esses números de identificação deverão ser considerados privados.

Preocupações de segurança e privacidade muitas vezes parecem competir umas com as outras. Sob o ponto de vista da segurança, você deve registrar todas as operações importantes para que qualquer atividade anormal possa ser identificada mais tarde. No entanto, quando dados privados estão envolvidos, essa prática pode gerar riscos adicionais.

Embora existam muitas maneiras de manipular dados privados sem segurança, um risco comum está relacionado a equívocos de confiança. Os programadores muitas vezes confiam no ambiente operacional em que um programa é executado e, portanto, julgam aceitável armazenar informações privadas no sistema de arquivos, no registro ou em outros recursos localmente controlados. No entanto, mesmo se o acesso a determinados recursos for restrito, isso não garante que os indivíduos que possuem esse acesso possam receber certos dados com confiança. Por exemplo, em 2004, um funcionário sem escrúpulos da AOL vendeu cerca de 92 milhões de endereços de email privados de clientes para um remetente de spam que comercializava um site de jogatina em atividade fora do país [1].

Em resposta a tais explorações notórias, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Dependendo da sua localização, do tipo de negócios administrado e da natureza de quaisquer dados privados que ela manipule, uma organização pode ser obrigada a cumprir uma ou mais das seguintes normas federais e estaduais:

- Safe Harbor Privacy Framework [3]

- Gramm-Leach Bliley Act (GLBA) [4]

- Health Insurance Portability and Accountability Act (HIPAA) [5]

- California SB-1386 [6]

Apesar dessas normas, violações de privacidade continuam a ocorrer com uma frequência alarmante.

A subclasse identificada UIViewController não implementa os métodos adequados usados para esconder elementos da tela antes que o iOS armazene o conteúdo da tela em cache. Isso revelará quaisquer informações confidenciais que tenham sido inseridas em controles de entrada antes que um aplicativo seja posto em segundo plano.

Exemplo 1: A entrada inserida em controles de texto iOS podem ser armazenadas em uma captura de tela feita quando um aplicativo é posto em segundo plano (ou seja, quando o botão "Home" é pressionado enquanto o aplicativo está ativo).

ViewController.h
...

@property (nonatomic, retain) IBOutlet UITextField *ssnField;

...

O código no Example 1 indica que o aplicativo utiliza um controle de entrada projetado para coletar informações confidenciais. Como o iOS faz uma captura de tela da exibição ativa de um aplicativo quando ele é posto em segundo plano para melhorar o desempenho da animação, qualquer informação exibida nesses controles de entrada durante o evento de segundo plano pode ser armazenada em cache em uma imagem salva no sistema de arquivos. Uma vez que essas capturas de tela são armazenadas no dispositivo, se o dispositivo for perdido poderá ser recuperado, revelando assim quaisquer informações confidenciais contidas nele.

Dados privados podem entrar em um programa de várias maneiras:

- Diretamente do usuário em formato de senha ou informações pessoais.

- Acessados a partir de um banco de dados ou outro repositório de dados pelo aplicativo.

- Indiretamente de um parceiro ou de terceiros.

- Recuperada de armazenamentos de dados móveis, incluindo: catálogo de endereços, fotos tiradas, geolocalização, arquivos de configuração, mensagens SMS arquivadas etc.

Às vezes, dados não rotulados como privados podem ter uma implicação de privacidade em um contexto diferente. Por exemplo, números de identificação de aluno geralmente não são considerados privados, pois não há um mapeamento explícito e publicamente disponível para as informações pessoais de um aluno individual. No entanto, se uma escola gerar números de identificação de alunos com base em números de segurança social de alunos, esses números de identificação deverão ser considerados privados.

Preocupações de segurança e privacidade muitas vezes parecem competir umas com as outras. Sob o ponto de vista da segurança, você deve registrar todas as operações importantes para que qualquer atividade anormal possa ser identificada mais tarde. No entanto, quando dados privados estão envolvidos, essa prática pode gerar riscos adicionais.

Embora existam muitas maneiras de manipular dados privados sem segurança, um risco comum está relacionado a equívocos de confiança. Os programadores muitas vezes confiam no ambiente operacional em que um programa é executado e, portanto, julgam aceitável armazenar informações privadas no sistema de arquivos, no registro ou em outros recursos localmente controlados. No entanto, mesmo se o acesso a determinados recursos for restrito, isso não garante que os indivíduos que possuem esse acesso possam receber certos dados com confiança. Por exemplo, em 2004, um funcionário sem escrúpulos da AOL vendeu cerca de 92 milhões de endereços de email privados de clientes para um remetente de spam que comercializava um site de jogatina em atividade fora do país [1].

Em resposta a tais explorações notórias, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Dependendo da sua localização, do tipo de negócios administrado e da natureza de quaisquer dados privados que ela manipule, uma organização pode ser obrigada a cumprir uma ou mais das seguintes normas federais e estaduais:

- Safe Harbor Privacy Framework [3]

- Gramm-Leach Bliley Act (GLBA) [4]

- Health Insurance Portability and Accountability Act (HIPAA) [5]

- California SB-1386 [6]

Apesar dessas normas, violações de privacidade continuam a ocorrer com uma frequência alarmante.

O diretório Documents foi projetado para armazenar dados de aplicativo não transitórios, como conteúdo criado pelo usuário ou informações locais, que permitem que o aplicativo seja executado em modo offline. Se UIFileSharingEnabled estiver definido no arquivo Info.plist do aplicativo, os arquivos presentes aqui serão acessíveis pelo iTunes. Ao gravar dados confidenciais no diretório Documents, os dados podem ser expostos a backups não criptografados ou por meio da interface do iTunes.

Exemplo 1: O seguinte trecho de código grava a senha do usuário em texto sem formatação no diretório Documents:

    ...
    NSString *docsDirectory = [NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES) objectAtIndex:0];
    NSString *passwd_path = [docsDirectory stringByAppendingPathComponent:@"passwords.txt"];

    NSString *password = [user password];
    [password writeToFile:passwd_path atomically:YES encoding:NSUTF8StringEncoding error:nil];
    ...

Algumas APIs que reúnem informações confidenciais podem danificá-lo, ecoando-o de volta ao usuário.

Exemplo 1: O código a seguir demonstra a instanciação de um objeto de retorno de chamada de senha que não obscurece a senha de um usuário enquanto ele a digita no prompt de entrada:

PasswordCallback pc = new PasswordCallback("Please enter your password: ", true);

Como pc no Exemplo 1 foi instanciado com seu segundo parâmetro onEcho definido como true, a senha do usuário não será obscurecida quando ele a digitar no prompt "Please enter your password: ".

Violações de privacidade ocorrem quando:

1. Informações privadas de usuários entram no programa.
2. Os dados são gravados em um local externo, como o console, o sistema de arquivos ou a rede.

Exemplo 1: O código vulnerável a seguir contém uma instrução de configuração que permite que o segredo "admin_password" seja registrado em log sem ofuscação.

from oslo_config import cfg
 ...
opts = [
  cfg.StrOpt('admin_password',secret=False,
               help="User's password")]
 ...              
grp = cfg.OptGroup('mygroup')
cfg.CONF.register_opts(opts, group=grp)
 ...
logger.warning("Adding %s" % cfg.CONF.mygroup.admin_password)

O código em Example 1 grava admin_password em texto simples (não ofuscado) na saída do log, pois o valor de secret é definido como False. Embora muitos desenvolvedores confiem no log de eventos como um local de armazenamento seguro para os dados, ele não deve ser confiado de forma implícita, especialmente quando a privacidade é uma preocupação.

Dados privados podem entrar em um programa de várias maneiras:

- Diretamente do usuário, na forma de uma senha ou informações pessoais

- Acessados de um banco de dados ou outro repositório de dados pelo aplicativo

- Indiretamente de um parceiro ou de terceiros

Às vezes, dados não rotulados como privados podem ter uma implicação de privacidade em um contexto diferente. Por exemplo, números de identificação de aluno geralmente não são considerados privados, pois não há um mapeamento explícito e publicamente disponível para as informações pessoais de um aluno individual. No entanto, se uma escola gerar números de identificação com base em números de segurança social de alunos, esses números de identificação deverão ser considerados privados.

Preocupações de segurança e privacidade muitas vezes parecem competir umas com as outras. Sob o ponto de vista da segurança, você deve registrar todas as operações importantes para que qualquer atividade anormal possa ser identificada mais tarde. No entanto, quando dados privados estão envolvidos, essa prática pode gerar riscos.

Embora existam muitas maneiras de manipular dados privados sem segurança, um risco comum está relacionado a equívocos de confiança. Os programadores muitas vezes confiam no ambiente operacional em que um programa é executado e, portanto, julgam aceitável armazenar informações privadas no sistema de arquivos, no registro ou em outros recursos localmente controlados. No entanto, mesmo se o acesso a determinados recursos for restrito, isso não garante que os indivíduos que têm esse acesso possam ser confiáveis. Por exemplo, em 2004, um funcionário sem escrúpulos da AOL vendeu cerca de 92 milhões de endereços de email privados de clientes para um remetente de spam que comercializava um site de jogatina em atividade fora do país [1].

Em resposta a tais explorações notórias, a coleta e o gerenciamento de dados privados estão se tornando cada vez mais regulamentados. Dependendo da sua localização, do tipo de negócios administrado e da natureza de quaisquer dados privados que ela manipule, uma organização pode ser obrigada a cumprir uma ou mais das seguintes normas federais e estaduais:

- Safe Harbor Privacy Framework [3]

- GLBA (Gramm-Leach Bliley Act) [4]

- HIPAA (Health Insurance Portability and Accountability Act) [5]

- California SB-1386 [6]

Apesar dessas normas, violações de privacidade continuam a ocorrer com frequência alarmante.

Os invasores podem explorar vulnerabilidades em permissões não verificadas da seguinte maneira:

1. Os dados entram em um aplicativo por uma fonte não confiável.

2. Os dados são usados para representar o identificador de usuário ou grupo, a lista de permissões ou o recurso ao qual a permissão é aplicada, sem passar por qualquer verificação de sanidade prévia. Em seguida, o aplicativo usa esses dados não sanitizados para editar configurações de permissão.

Esta permissão tem um nível de proteção “perigoso”. As permissões designadas como perigosas implicam um risco maior à privacidade dos dados do usuário ou à operação do dispositivo. Neste caso, o acesso às informações de atividades físicas pode representar um risco à privacidade e à segurança pessoal do usuário. Aplicativos que exigem o acesso às informações de atividades físicas do usuário devem gerenciá-lo com máxima cautela.

Exemplo 1: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão ACTIVITY_RECOGNITION, que permite que um aplicativo reconheça as atividades físicas do usuário.

 <uses-permission android:name="android.permission.ACTIVITY_RECOGNITION"/> 

Esta permissão tem um nível de proteção “perigoso”. As permissões designadas como perigosas implicam um risco maior à privacidade dos dados do usuário ou à operação do dispositivo. Neste caso, o acesso ao calendário do usuário pode representar um risco à sua privacidade e à sua segurança pessoal. Os aplicativos devem tratar os dados de calendário como confidenciais e gerenciá-los com máxima cautela para proteger a privacidade.

Exemplo 1: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão READ_CALENDAR, que permite que um aplicativo leia os dados de calendário do usuário.

 <uses-permission android:name="android.permission.READ_CALENDAR"/> 

Exemplo 2: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão WRITE_CALENDAR, que permite que um aplicativo escreva nos dados de calendário do usuário.

 <uses-permission android:name="android.permission.WRITE_CALENDAR"/> 

Esta permissão tem um nível de proteção “perigoso”. As permissões designadas como perigosas implicam um risco maior à privacidade dos dados do usuário ou à operação do dispositivo. Neste caso, o acesso ao registro de chamadas pode representar um risco à privacidade e à segurança pessoal do usuário. Aplicativos que exigem o acesso ao registro de chamadas devem gerenciá-lo com máxima cautela.

Exemplo 1: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão READ_CALL_LOG, que permite que um aplicativo leia o registro de chamadas do usuário.

 <uses-permission android:name="android.permission.READ_CALL_LOG"/> 

Exemplo 2: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão WRITE_CALL_LOG, que permite que um aplicativo escreva no registro de chamadas do usuário.

 <uses-permission android:name="android.permission.WRITE_CALL_LOG"/> 

Esta permissão tem um nível de proteção “perigoso”. As permissões designadas como perigosas implicam um risco maior à privacidade dos dados do usuário ou à operação do dispositivo. Neste caso, o acesso à câmera pode representar um risco à privacidade e à segurança pessoal do usuário. Aplicativos que exigem o acesso à câmera devem gerenciá-lo com máxima cautela.

Exemplo 1: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão CAMERA, que permite que um aplicativo acesse a câmera do dispositivo.

 <uses-permission android:name="android.permission.CAMERA"/> 

Esta permissão tem um nível de proteção “perigoso”. As permissões designadas como perigosas implicam um risco maior à privacidade dos dados do usuário ou à operação do dispositivo. Neste caso, o acesso às informações de contatos pode representar um risco à privacidade e à segurança pessoal do usuário. Os aplicativos devem tratar os dados de contatos como confidenciais e gerenciá-los com máxima cautela.

Exemplo 1: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão READ_CONTACTS, que permite que um aplicativo leia os dados de contatos do usuário.

 <uses-permission android:name="android.permission.READ_CONTACTS"/> 

Exemplo 2: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão WRITE_CONTACTS, que permite que um aplicativo escreva nos dados de contatos do usuário.

 <uses-permission android:name="android.permission.WRITE_CONTACTS"/> 

Exemplo 3: O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão GET_ACCOUNTS, que permite que um aplicativo acesse o e-mail e as contas on-line do usuário armazenados no Account Manager. É possível acessar dados confidenciais, como IDs de conta, endereços de e-mail e números de telefone, com essa permissão.

 <uses-permission android:name="android.permission.GET_ACCOUNTS"/> 

Os arquivos gravados no armazenamento externo podem ser lidos e gravados por programas e usuários arbitrários. Os programas nunca devem gravar informações confidenciais, por exemplo, informações de identificação pessoal em um armazenamento externo. Quando você conecta o dispositivo Android via USB a um PC ou outro dispositivo, ele ativa o modo de armazenamento em massa USB. Qualquer arquivo gravado no armazenamento externo pode ser lido e modificado neste modo. Além disso, os arquivos no armazenamento externo permanecerão lá mesmo depois que o aplicativo que os escreveu for desinstalado, aumentando ainda mais o risco de que qualquer informação sensível armazenada neles seja comprometida.

Exemplo 1:O elemento <uses-permission .../> de AndroidManifest.xml declara o uso da permissão WRITE_EXTERNAL_STORAGE, que permite que um aplicativo grave em um espaço de armazenamento externo.

 <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> 

Exemplo 2:O elemento <uses-permission .../> do AndroidManifest.xml declara o uso da permissão READ_EXTERNAL_STORAGE, que permite que um aplicativo leia de um espaço de armazenamento externo.

 <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>