Segurança do Aplicativo Android/Sistema

No contexto da tecnologia da informação, as propriedades clássicas da Segurança da Informação são (CRUZ; ARANHA, 2015):

 Confidencialidade: é a garantia do sigilo das informações fornecidas e proteção contra sua revelação não autorizada.

 Integridade: ter disponibilidade de informações confiáveis, corretas e em formato compatível com o de utilização.

 Disponibilidade: resistência a falhas e manutenção do serviço pelo máximo tempo possível

 Autenticidade: consiste na identificação e confirmação de origem da informação.

 Irretratabilidade: propriedade do que não pode ser rejeitado e tratado novamente.

Existem diversos mecanismos de hardware e software que podem ser utilizados a fim de garantir uma maior segurança da informação, dentre eles destaca- se: uso de firewalls, sistemas de detecção de intrusos, softwares antivírus, criptografia da informação, autenticação de usuários.

No Android, cada aplicativo é executado separadamente, com sua própria conta de usuário, isto garante que eles acessem somente seus próprios dados. Uma vez que o aplicativo tenha sua própria conta de usuário garante também que não consiga acessar recursos que requerem privilégios de administrador, garantindo uma maior segurança na perspectiva de desenvolvimento dos aplicativos (SIX, 2012).

No momento que um aplicativo é instalado e/ou executado é solicitado permissão de acesso aos recursos do dispositivo Android (acesso à internet, leitura/escrita de arquivos, câmera, GPS), cabe ao usuário aceitar se o aplicativo terá ou não acesso a este recurso. Após esta aceitação o usuário não é mais informado sobre esta permissão.

De acordo com Braga (2012), recomenda algumas medidas gerais de segurança contra as ameaças aos dispositivos móveis a fim de se proteger de possíveis ataques. Dentre elas se destacam:

 Ter cuidado na instalação de aplicativos de fontes desconhecidas - um atacante pode modificar um aplicativo seguro, transformando-o em malware, e não

haverá uma entidade para verificar questões pertinentes à segurança. Recomendado o uso do Google Store para esta finalidade.

 Se o bloqueio de tela for feito por senha, que seja de no mínimo 8 caracteres incluindo alfabéticos maiúsculos/minúsculos, caracteres numéricos e símbolos - dificulta ataques de força bruta.

 Se possível, habilitar a encriptação de disco - esta funcionalidade mantém os dados seguro contra roubo e extravio do dispositivo móvel, neste caso é importante a definição de uma senha forte.

 Ativar o Bluetooth somente quando necessário - deixar ele ativado abre mais uma porta para possíveis ataques.

 Se possível, habilitar a formatação remota - caso o dispositivo seja perdido será possível apagar os dados remotamente, protegendo-se contra roubo de informações.

 Antivírus e firewall - é possível a utilização de aplicativos com esta finalidade como medida adicional de segurança.

 Manter sempre o dispositivo atualizado - algumas vulnerabilidades só serão resolvidas através destas atualizações.

Recomenda-se a instalação de aplicativos mantidos pelo Google Store, por meio dele é possível reduzir drasticamente a chance de instalar um software malicioso, para isto basta consultar as recomendações de outros usuários que instalaram este aplicativo, assim como é possível postar sugestões, postar alguma dúvida para o próprio desenvolvedor.

A respeito da segurança das informações na Internet, pode-se citar o uso do protocolo SSL/TLS em sua comunicação, ele é o mais utilizado para se estabelecer conexões seguras por instituições financeiras. Como relatado no artigo de Cruz e Aranha (2015), este protocolo tem uma falha, uma forma de ataque em que os dados trocados são interceptados, registrados e possivelmente alterados sem que as vítimas percebam, chamado de ataque Homem No Meio. A prevenção deste tipo de ataque é realizada com uma boa implementação do protocolo, pois garante segurança de suas propriedades de comunicação fim-a-fim.

6 DESENVOLVIMENTO

Para que se possa chegar ao objetivo da pesquisa, o mesmo foi dividido no desenvolvimento do sistema Web, aplicação Webservice e aplicativo Android. É possível a conclusão do objetivo principal somente com o desenvolvimento do aplicativo, mas foi necessário o desenvolvimento do sistema Web para criação de novas telas, assim como outros fatores que serão vistos na seção 6.1 e da aplicação Webservice que possibilita uma maior segurança na comunicação dos dados. 6.1 SISTEMA WEB

Embora utiliza-se o SISCAD como prova de conceito da dissertação, foi necessário o desenvolvimento de um sistema web que tratam dos módulos básicos do sistema, fundamentais para o funcionamento do aplicativo móvel. Esta versão diferente do sistema web não impacta na implementação do aplicativo no SISCAD futuramente, pois as mesmas regras de negócios utilizada no desenvolvimento do aplicativo móvel são as utilizadas no sistema SISCAD.

Diversos fatores levaram ao desenvolvimento do sistema web:

 O sistema web gerencia integralmente o banco de dados, como o cadastro de usuários, cursos, disciplinas, ofertas de disciplinas, etc. Pelo contrário do aplicativo móvel que tem um acesso mais simplificado e restrito;

 O desenvolvimento do aplicativo foi realizado fora das dependências da instituição, não teria como ter acesso externo ao banco de dados do SISCAD, neste caso foi criado um banco de dados novo;

 O aplicativo móvel é uma proposta de implementação para o SISCAD, não quer dizer que será aplicado exatamente como demonstrado na dissertação;

 Foi necessário a criação de tabelas extras para o funcionamento integral do aplicativo móvel, especialmente a que guardam informações referentes a área de concentração do aluno;

Levando em consideração estes fatores, esta dissertação não trabalha com dados reais da instituição, sendo todos os dados gerados de formas fictícias e aleatórias.

O sistema web desenvolvido é capaz de:

 Alterar as preferências de acesso do usuário;  Gerenciar os perfis de aluno e professor;  Gerenciar o cadastro dos institutos;  Gerenciar o cadastro dos cursos;  Gerenciar o cadastro das disciplinas;

 Gerenciar o cadastro das ofertas de disciplinas;  Enturmar os alunos;

 Gerenciar os diários do professor: lançamento de dias letivos, avaliações / fórmulas, frequências e notas;

 Gerenciar o cadastro das áreas do conhecimento das disciplinas.

A Figura 14 ilustra uma das telas do sistema web. Esta tela gerencia as áreas do conhecimento das disciplinas, filtrada pelo curso. Cada linha da tabela é referente a uma disciplina, e o usuário poderá informar na própria tela qual o peso para cada área do conhecimento.

Figura 14 – Tela do Sistema Web

Apesar do sistema web e banco de dados serem diferentes, o aplicativo móvel foi desenvolvido para ser adequado no SISCAD e se possível para outros sistemas acadêmicos, precisando para isto a criação do servidor webservice específico.

6.2 WEBSERVICE

O acesso ao servidor de banco de dados do SISCAD é restrito somente às máquinas da rede interna e é protegido por um firewall, por este motivo optou-se pela utilização do Webservice, onde possibilita a comunicação do aplicativo móvel com este servidor.

No Webservice é possível encontrar todas as funções que possibilitam acesso de leitura e escrita das informações salvas no servidor de banco de dados. Uma grande vantagem em seu uso nesta pesquisa será sua abstração, possibilitando que o servidor de banco de dados possa ser modificado e até trocado sem impactar em modificações no código-fonte do aplicativo do dispositivo móvel.

Entre as duas tecnologias SOAP e REST, embora as duas são capazes de disponibilizar o mesmo serviço, optou-se pela REST visto as vantagens apontadas por esta tecnologia, principalmente quando se trata de otimização dos recursos de infraestrutura e largura de banda.

A ação a ser realizada é informada por meio do conjunto de métodos comuns para HTTP (POST, GET, PUT, DELETE), com isto pode-se realizar operações de CRUD (Create, Retrieve, Update e Delete) sobre os recursos. A tabela a seguir representa o mapeamento entre o conjunto dos métodos HTTP e operações CRUD.

Quadro 2 – Relação de métodos HTTP com operação CRUD

Método HTTP Operação CRUD

POST Criar ou editar um registro por completo

PUT Atualizar um campo de um registro

GET Obter um registro

DELETE Remover o registro informado

Fonte: Elaborado pelo autor, 2017

Os dados são transmitidos utilizando a linguagem JSON, na parte do servidor PHP é simples sua implementação, é necessário apenas a execução do comando json_encode() em um array bem estruturado, a codificação dos caracteres é UTF-8. Segue abaixo um exemplo de retorno do webservice para a requisição GET http://localhost/acad/webservice/pessoas: