Análise de Aplicações Potencialmente Nocivas em Dispositivos com Sistema Operacional Android

(1)

An´

alise de Aplica¸

c˜

oes Potencialmente Nocivas em

Dispositivos com Sistema Operacional Android

Wesley Morais de Ara´

ujo

Orientador: Prof. Ms. Jo˜ao Batista Borges Neto Co-orientador: Prof. Esp. Alexandre Melo Queiroga

Trabalho de Conclusão de Curso apre-sentado ao Curso de Bacharelado em Siste-mas de Informa¸cão como parte dos requisitos para obten¸cão do t´ıtulo de Bacharel em Sis-temas de Informa¸cão.

Laboratório de Elementos do Processamento da Informa¸cão – LabEPI Caicó, RN, 11 de fevereiro de 2020

(2)

Universidade Federal do Rio Grande do Norte - UFRN Sistema de Bibliotecas - SISBI

Cataloga¸cão de Publica¸cão na Fonte. UFRN - Biblioteca Setorial Profa. Maria Lúcia da Costa Bezerra - - CERES–Caicó

Ara´ujo, Wesley Morais de.

Análise de Aplica¸cões Potencialmente Nocivas em Dispositivos com Sistema Operacional Android. / Wesley Morais de Araújo. – Caicó, RN, 2019.

36 f.: il. color

Orientador: Prof. Dr. Jo˜ao Batista Borges Neto. Co-orientador: Prof. Esp. Alexandre Melo Queiroga.

Trabalho de Conclusão de Curso – Universidade Federal do Rio Grande do Norte. Centro de Ensino Superior do Seridó. Departamento de Computa¸cão e Tecnologia. Bacharelado em Sistemas de Informa¸cão.

1. Aplica¸cões Potencialmente Nocivas. 2. Dispositivos Móveis. 3. Seguran¸ca da Informa¸cão. I. Neto, João Batista Borges. II. Queiroga, Alexandre Melo. III. T´ıtulo.

RN/UF/BS-Caic´o CDU 004.49

(3)

Wesley Morais de Ara´

ujo

Monografia aprovada em 12 de Dezembro de 2019 pela banca examinadora composta pelos seguintes membros:

Prof. Ms. Jo˜ao Batista Borges Neto (orientador) . . . DCT/UFRN

Prof. Esp. Alexandre Melo Queiroga (co-orientador) . . . DCT/UFRN

(4)

(5)

(6)

(7)

Agrade¸co a Deus pelo discernimento, for¸ca e saúde para poder superar as dificuldades. Ao meu pai Carlos Alberto de Araújo, meu melhor amigo, que sempre me apoiou e que me ajudou a conseguir meus objetivos. A minha mãe Judélia Morais da Silva Araújo, o principal motivo para a realiza¸cão deste trabalho, sem sua ajuda eu nunca conseguiria chegar onde estou, muito obrigado por me guiar. Sou grato ao senhor e a senhora que nunca mediram esfor¸cos para me ajudar em qualquer coisa que eu precisasse. A minha voinha Maria que também sempre me ajudou em tudo o que eu precisei e a toda a minha fam´ılia. Amo vocês.

Aos meus colegas e amigos de faculdade Aline e Bruno os quais entraram juntamente no curso comigo e que me acompanharam até onde estou hoje, sem a ajuda não conseguiria chegar onde cheguei. As minha amigas e também colegas de curso Carol, Juliana, Bismark, José Ronaldo e Renata, que mesmo em outro per´ıodo estiveram comigo e me ajudaram quando precisei. A todos os meus colegas de laboratório pela convivência diária, pelos estudos e por todo o conhecimento trocado. Colegas e amigos que levarei para a vida. Sou eternamente grato ao professor João Borges que sempre com paciência me orientou e ao professor Alexandre Queiroga por ter aceito me co-orientar, repassando seus conheci-mentos, e por todos os momentos de descontra¸cão proporcionados. A todos os professores que tive nesse tempo de curso pelos ensinamentos, instru¸cões durante todo o meu tempo nesta universidade e contribui¸cões para minha forma¸cão.

A todos os meus amigos, por todos os momentos de descontra¸cão, onde me fizeram esquecer as dificuldades, os deveres e renovando sempre a mente. Agrade¸co em especial a João, Bia e Maria Ritha, que nos momentos que achei que não conseguiria mais estavam lá pra me acolher, sempre estiveram comigo quando eu mais precisei, que me apoiaram e me ajudaram a tomar decisões. Considero vocês como meus irmãos.

Finalmente, sou grato pela oportunidade de desenvolver este trabalho no Laboratório de Elementos do Processamento da Informa¸cão (LabEPI), sediado Centro de Ensino Superior do Seridó da Universidade Federal do Rio Grande do Norte.

(8)

(9)

trabalho visa analisar as principais caracter´ısticas de aplica¸cões potencialmente nocivas para dispositivos móveis, baseados em Android, com o intuito de servir como um ponto de partida para futuras solu¸cões e estratégias de seguran¸ca para estes sistemas. Para isto, um total de 682 aplica¸cões potencialmente nocivas foram analisadas de forma estática, a partir de informa¸cões coletadas de seu código fonte. Por meio destas informa¸cões, as aplica¸cões foram classificadas e agrupadas em fam´ılias, permitindo a identifica¸cão dos principais tipos de aplica¸cões potencialmente nocivas neste cenário. Assim, a partir dos dados coletados destas aplica¸cões, foi poss´ıvel concluir que é poss´ıvel utilizá-los para a sua identifica¸cão, de forma a permitir uma melhor compreensão de seu funcionamento e também modelar poss´ıveis amea¸cas e vulnerabilidades. Com isso, espera-se que este estudo permita uma poss´ıvel identifica¸cão, através da análise do código fonte de uma aplica¸cão, se ela apresenta caráter malicioso.

Palavras-chave: Aplica¸cões Potencialmente Nocivas; Dispositivos Móveis; Seguran¸ca da Informa¸cão.

(10)

(11)

main characteristics of the potentially harmful applications for mobile devices, based on Android, in order to be a starting point for future security solutions and strategies for these systems. Furthermore, a number of 682 potentially harmful applications were analy-zed following the static analysis method, where features were collected from their source code. From these information, the applications were classified and grouped into families, allowing us to identify the main types of potentially harmful applications in this scenario. Thus, we conclude that it is possible to use data collected from these applications for a better understanding of their operation and also for modeling of possible threats and vul-nerabilities. Finally, we expect that this work can be useful for further identification, based on the analysis of its source code, if an application present possibly malicious features.

(12)

(13)

Sum´

ario

Lista de Figuras 11

Lista de Tabelas 13

Gloss´ario 15

1 Introdu¸c˜ao 1

1.1 Tema e Delimita¸c˜ao do estudo. . . 1

1.2 Contextualiza¸c˜ao e Problema . . . 2

1.3 Objetivos . . . 2

1.3.1 Objetivo Geral . . . 2

1.3.2 Objetivos espec´ıficos . . . 2

1.4 Motiva¸c˜ao e Justificativa do estudo . . . 3

1.5 Organiza¸c˜ao do trabalho . . . 4

2 Levantamento bibliogr´afico 5 2.1 Seguran¸ca da Informa¸c˜ao . . . 5

2.1.1 Medidas de Seguran¸ca . . . 6

2.1.2 Os Principais Atributos da Seguran¸ca de Informa¸c˜ao . . . 6

2.1.3 Tipos de Ataque . . . 7

2.2 Desenvolvimento em Dispositivos M´oveis. . . 9

2.2.1 Principais Componentes do Android . . . 11

2.2.2 A Plataforma Android . . . 14

2.2.3 Boas Pr´aticas . . . 15

2.3 Seguran¸ca em Dispositivos M´oveis . . . 15

2.3.1 Seguran¸ca em Android . . . 16

2.3.2 Técnicas e Estratégias de Deteçcão de PHAs . . . 17

2.4 Aprendizado de M´aquina . . . 18

2.4.1 Clustering . . . 19

3 Desenvolvimento 21 3.1 Procedimentos Metodol´ogicos . . . 21

3.2 Explora¸c˜ao das Aplica¸c˜oes Potencialmente Nocivas . . . 22

3.3 An´alise dos Resultados . . . 26

4 Considera¸c˜oes Finais 31 4.1 Resultados. . . 31

(14)

10 Sum´ario

(15)

Lista de Figuras

2.1 Total de Incidentes Reportados ao CERT.br por Ano . . . 9

2.2 Ciclo de vida de uma Activity . . . 10

2.3 Diagrama de Vis˜ao Geral do Gerenciamento de Acesso ao Armazenamento do Content Provider. . . 12

2.4 Pilha de Software do Android . . . 14

3.1 Sele¸c˜ao de Modelo: Fluxo de Trabalho Esquem´atico . . . 22

3.2 Matriz de Dissimilaridade das Permiss˜oes . . . 27

3.3 Matriz de Dissimilaridade das Inten¸c˜oes . . . 28

3.4 Exemplo de Trecho de C´odigo do PHA 10 . . . 28

3.5 Exemplo de Trecho de C´odigo do PHA 21 . . . 29

3.6 Exemplo de Trecho de C´odigo do PHA 8. . . 29

(16)

(17)

Lista de Tabelas

1.1 Autores e suas Ferramentas de An´alise . . . 3

2.1 Permiss˜oes perigosas e grupos de permiss˜oes . . . 13

2.2 Taxa de Instala¸c˜ao de PHA da Google Play no Per´ıdo de Julho `a Setembro de 2019 . . . 16

2.3 Taxa de Instala¸c˜ao de PHA Fora da Google Play no Per´ıdo de Julho `a Setembro de 2019 . . . 17

3.1 Permiss˜oes por cluster. . . 23

(18)

(19)

Gloss´

ario

Acrˆ

onimos

API . . . Application Programming Interface APK . . . Android Package APN . . . Aplica¸c˜oes Potencialmente Nocivas BYOD . . . Bring Your Own Device DoS . . . Denial of Service GUI . . . Graphical User Interface HTTP . . . Hypertext Transfer Protocol IP . . . Internet Protocol KISA . . . Korea Internet and Security Agency MDM . . . Mobile Device Management OHA . . . Open Headset Alliance PHA . . . Potentially Harmful Applications SMS . . . Short Message Service SO . . . Sistema Operacional TCP . . . Transmission Control Protocol VPN . . . Virtual Private Network

(20)

(21)

Cap´ıtulo 1

Introdu¸

c˜

ao

“Sometimes it’s the very people who no-one imagines anything of who do the things that no-one can imagine.”

Alan Turing

Este Cap´ıtulo está organizado da seguinte forma: Na Se¸cão 1.1 está descrito o tema deste trabalho, assim como sua delimita¸cão. Logo após, na Se¸cão 1.2é apresentada a con-textualiza¸cão e o problema que busca-se resolver. Em seguida são mostrados os objetivos gerais e espec´ıficos do projeto em questão, juntamente com a motiva¸cão e a justificativa do estudo, nas Se¸cões1.3 e 1.4 na devida ordem. Por fim, é exposto como o trabalho foi organizado na Se¸cão 1.5.

1.1 Tema e Delimita¸

c˜

ao do estudo

Devido ao grande número de viola¸cões de seguran¸ca que ocorrem nos dispositivos móveis nos dias atuais, como é o caso da plataforma Android, os atacantes já consideram os dispositivos móveis como o principal alvo para roubar informa¸cões pessoais usando vários tipos de aplica¸cões prejudiciais (Karthick S,2017). Pelo simples fato destas informa¸cões estarem vulneráveis a tais ataques, com risco de perda de informa¸cões de crucial relevância, há a importância do aumento da análise de seguran¸ca de tais dispositivos. Assim, um potencial direcionamento neste sentido diz respeito à realiza¸cão da análise dos sistemas de seguran¸ca dos dispositivos, como também das informa¸cões contidas nestes, para que se tenha no¸cão das informa¸cões que poderiam ser perdidas, aprendendo desta forma a lidar com tais amea¸cas.

Os smartphones podem ser convertidos em armas de propaga¸cão de agentes nocivos (Leite, 2018), devido ao fato que nem sempre os dispositivos estão munidos sob a segu-ran¸ca oferecida pelas empresas. Sendo alvos vulneráveis que a qualquer momento, mesmo não sendo intencional, podem executar códigos não testados e que possuem origem des-conhecida. Através disso, os ataques tomam vantagem de quanto o dispositivo estiver integrado na vida do usuário. Relacionando que hoje em dia a vida das pessoas estão em seus dispositivos móveis, suas informa¸cões mais pessoais estão contidas nos mesmos.

Por estes motivos, o trabalho visa, principalmente, realizar a análise das “Potentially Harmful Applications” (PHA), em português Aplica¸cões Potencialmente Nocivas, em dis-positivos móveis que tenham o sistema operacional Android, visando obter a maior massa

(22)

2 Cap´ıtulo 1. Introdu¸c˜ao

de dispositivos do mercado. Com isso, será poss´ıvel perceber quais informa¸cões que mais são buscadas pelos PHAs, como também o que eles utilizam para obter tais informa¸cões.

1.2 Contextualiza¸

c˜

ao e Problema

Nos dias atuais, os dispositivos móveis são ferramentas indispensáveis para a vida mo-derna, destacando-se para diversas atividades de entretenimento e comunica¸cão social, tais como enviar emails, tirar fotos, assistir v´ıdeos, conversar com amigos, navegar na Internet, acompanhar as redes sociais, etc (Lecheta, 2016). Além destas funcionalidades, o celular também é uma ferramenta que cada vez mais facilita a vida das pessoas, servindo para acessos bancários, mapas e entretenimento como músicas e jogos em geral. Porém, tais benef´ıcios podem ter sentido oposto, visto que muitas informa¸cões importantes como os próprios dados bancários e outras informa¸cões pessoais, que estão salvas nestes disposi-tivos, estando protegidas ficam dependendo exclusivamente do grau de seguran¸ca que se tem nos mesmos.

Assim, tendo em vista o que foi dito, a respeito do n´ıvel de seguran¸ca das empresas, em rela¸cão aos seus dados em dispositivos móveis, como também das informa¸cões pessoais dos usuários é imprescind´ıvel que se fa¸ca uma análise dos agentes nocivos que podem vir a ter acesso a tais informa¸cões. Havendo assim, um melhor entendimento de acordo com as categorias de classifica¸cão dos agentes, o que os mesmos desejam obter ao ter acesso as informa¸cões privadas dos usuários.

1.3 Objetivos

A seguir, est˜ao apresentados os objetivos gerais e espec´ıficos deste trabalho.

1.3.1 Objetivo Geral

Tem-se por objetivo geral a compreensão e análise de “Potentially Harmful Appli-cations” (PHA), em português Aplica¸cões Potencialmente Nocivas, utilizando métodos estáticos a partir de ferramentas, para que se possa entender seu funcionamento. Junta-mente a isto, será poss´ıvel a realiza¸cão da classifica¸cão de acordo com suas caracter´ısticas. Desta forma, será poss´ıvel agrupá-los em fam´ılias de acordo com seus objetivos de invasão.

1.3.2 Objetivos espec´ıficos

Para que os principais objetivos deste trabalho possam ser alcan¸cados, os seguintes objetivos espec´ıficos devem ser devidamente atendidos:

• Realiza¸c˜ao de engenharia reversa para retomar os arquivos .DEX em arquivos Java; • Elabora¸c˜ao de um classificador de PHA;

• Utiliza¸cão do classificador para busca e análise de partes inconsistentes nos códigos Java;

• Classifica¸c˜ao e agrupamento dos PHA de acordo com os recursos que o PHA deseja utilizar.

(23)

Your Own Device (BYOD), expressão do inglês que significa “traga seu próprio disposi-tivo”. Com a iniciativa BYOD, as organiza¸cões podem reduzir gastos com infraestrutura tecnológica e, além disso, dá mais flexibilidade ao funcionário na hora de trabalhar (Leite,

2018).

Apesar das facilidades trazidas pelo BYOD, o problema está justamente no quesito de seguran¸ca dos dados, pois o usuário tem contato a dados fundamentais da empresa em seu dispositivo. Uma vez que esses dados come¸cam a trafegar através dos meios fornecidos pelas empresas, é necessário que tais dados não se misturem com as informa¸cões pessoais do usuário, surgindo o uso de Mobile Device Management (MDM), sigla em inglês que significa “Gerenciamento de Dispositivos Móveis”, o qual irá auxiliar na prote¸cão, monitoramento, gerenciamento e suporte aos dispositivos nas empresas.

Para melhor entender o n´ıvel dos tipos de ataques ocorridos nas empresas, um caso recente de ataque foi o do PowerGhost que é um minerador de criptomoedas o qual cria moedas novas usando o poder de computa¸cão dos PCs e dispositivos móveis da v´ıtima (Lab, 2018). Este malware atua mediante outros usuários, tirando proveito do poder dos computadores e dispositivos sem o conhecimento do proprietário. Este, faz com que seja utilizado tudo o que lhe seja necessário, por apenas um pequeno deslize de seguran¸ca referente ao usuário ou até mesmo das máquinas em questão.

Com o intuito de melhorar cada vez mais a compreens˜ao a respeito da ´area, juntamente com os riscos que a falta de seguran¸ca oferecem, foram realizados diversos trabalhos na ´

area de estudo, onde foram elaboradas ferramentas de classifica¸c˜ao como mostrado na Tabela 1.1. Visando cada vez mais mostrar o que os PHAs buscam obter dos usu´arios desprevenidos.

Autor Ferramenta de An´alise

Kim et al.(2018) Andro-Simnet

Shabtai et al. (2012) Andromaly

Wu et al. (2012) Droidmat

Tabela 1.1: Autores e suas Ferramentas de An´alise.

O Kim et al. (2018), buscou realizar um experimento onde foi realizado um pr´ e-processamento das amostras de PHA’s (dataset também utilizado na realiza¸cão deste tra-balho), classificando-os em 8 (oito) fam´ılias. Para isto, utilizou os recursos de Sequência de Chamadas da API, nomes das Activitys, nomes de Arquivos e Permissões. Mas, não classificaram todos os 682 PHA’s pois alguns não se enquadravam nos recursos que o autor buscou classificar. Utiliza métodos de análise estática e dinâmica.

OShabtai et al.(2012), propôs um framework que utilizava técnicas de classifica¸cão de Aprendizado de Máquina para a realiza¸cão de um sistema de deteçcão de malware. Realiza análise dinâmica, observando vários recursos e eventos obtidos no sistema, em seguida, aplica classificadores padrões do Aprendizado de Máquina para classificar as observa¸cões coletadas como normais (benignas) ou anormais (mal-intencionadas).

(24)

4 Cap´ıtulo 1. Introdu¸c˜ao

OWu et al. (2012), também utiliza métodos de extra¸cão de caracter´ısticas estáticas e dinâmicas. Na análise estática, foram observadas as Permissões, Deployment de compo-nentes, Intents e Chamadas de API para que fosse poss´ıvel caracterizar o comportamento das aplica¸cões Android. Na análise dinâmica foi observada a Sequência de Comporta-mento, Chamadas do sistema, Fluxo de dados e Consumo de energia. Para verificar a eficácia foram realizados duas séries de experimentos onde comparavam a linha base com outro classificador.

Visto isso, o referente trabalho busca fazer uma análise estática de todos os 682 PHA’s, utilizando Aprendizado de Máquina para que possam ser classificados e separados em fam´ılias, analisando o arquivo AndroidManifest.xml de cada arquivo, onde foram estudados as inten¸cões e as permissões que foram solicitadas pelas aplica¸cões.

1.5 Organiza¸

c˜

ao do trabalho

Este trabalho é composto por, além deste Cap´ıtulo, outros que englobam assuntos os quais serão necessários para o desenvolvimento deste trabalho. O Cap´ıtulo 2, onde encontra-se o levantamento bibliográfico do trabalho em questão, demonstra a importância da seguran¸ca da informa¸cão, como também a relevância da mesma em dispositivos móveis. No Cap´ıtulo3é apresentada a metodologia que foram utilizadas para atender aos ob-jetivos que foram citados anteriormente neste cap´ıtulo, incluindo alguns dos experimentos que já foram realizados com os dados que já foram obtidos de acordo com a pesquisa que foi realizada.

(25)

Cap´ıtulo 2

Levantamento bibliogr´

afico

“Come in close... Closer... Because the more you think you see the easier it’ll be to fool you.”

Now You See Me

Este Cap´ıtulo está organizado da seguinte forma: Na Se¸cão 2.1 é apresentada a im-portância da seguran¸ca da informa¸cão, mostrando a base para a seguran¸ca, os tipos de ataque e as boas práticas para evitá-los. Em seguida, na Se¸cão 2.2, são mostrados como são desenvolvidas as aplica¸cões em Android e especifica¸cões da plataforma em si, a qual é o objeto de estudo deste trabalho. Posteriormente, na Se¸cão2.3é exposta como é baseada a seguran¸ca em dispositivos móveis e em Android mais especificamente, juntamente com as técnicas de deteçcão de PHAs.

2.1 Seguran¸

ca da Informa¸

c˜

ao

Sempre que um site é acessado, seja via computador pessoal, um computador público, ou um dispositivo móvel, informa¸cões sobre o acesso do usuário ficam armazenadas (Cherry,

2014). Na grande maioria dos casos, esses dispositivos alimentam um banco de dados, permitindo que outros servi¸cos encontrem informa¸cões sobre os usuários para seu uso e benef´ıcio. Em parte, as informa¸cões são coletadas de forma até impercept´ıvel ao usuário, mesmo não necessitando do mesmo informá-las. Além disso, devido à natureza dos dis-positivos móveis, uma outra fonte de vulnerabilidade encontra-se justamente, em sua co-munica¸cão sem fio. Um problema que as redes sem fio enfrentam em rela¸cão a seguran¸ca, como citouCabral e Caprino(2015), são as falhas nos protocolos de seguran¸ca.

Por esses motivos, como dito porGoodrich e Tamassia(2013), a prote¸cão de informa¸cão sens´ıvel deve ir além da seguran¸ca dos dispositivos e se estender sobre o ambiente no qual essa informa¸cão é fornecida e lida. Para assim, refor¸car cada vez mais a seguran¸ca, apesar de surgirem técnicas de roubo de dados ainda mais complexas. Os ativos da informa¸cão, que consistem na informa¸cão e tudo que a suporta ou se utiliza dela, possuem vulnera-bilidades ou fraquezas que podem gerar, intencionalmente ou não, a indisponibilidade, a quebra de confidencialidade ou integridade (Lyra, 2008), que são os principais atributos da seguran¸ca. Tais fraquezas podem ocasionalmente vir a ser exploradas.

A informa¸cão é um ativo e, tal como qualquer outro ativo, é de extrema importância para alguma organiza¸cão ou pessoa e, por isso, deve ser protegida. Com todas as amea¸cas

(26)

6 Cap´ıtulo 2. Levantamento bibliogr´afico

encontradas, as quais tanto pessoas como organiza¸cões estão expostas, a necessidade de prote¸cão aumenta.

Seguran¸ca se trata de gerenciar riscos (Six, 2012). Para isto, é necessário entender três outros fatores que atuam de forma relevante, que são vulnerabilidade a qual indica o quão as medidas defensivas do sistema está baixo, comprometido ou ausente; amea¸cas que é alguma coisa ou alguém que pode vir a obter vantagens das vulnerabilidades e as con-sequências que são o que poderia vir a ocorrer caso algum dos fatores anteriores ocorrerem. Em contraponto, para que possa ser instaurada a seguran¸ca, devem ser levados em consi-dera¸cão outros três pontos que remetem a confidencialidade que implica em ter a certeza que somente terá acesso às informa¸cões quem realmente está designado a isso; integridade garante que os dados são ver´ıdicos e inalteráveis por quem não deva e disponibilidade é dito no que se refere ao sistema estar funcionando como deveria.

2.1.1 Medidas de Seguran¸ca

Visando manter a seguran¸ca tanto dos dados armazenados nos dispositivos como do aparelho f´ısico, surgem medidas as quais são utilizadas para que se possa manter a con-fidencialidade, privacidade, integridade e a disponibilidade das informa¸cões perante os usuários. A criptografia é um dos dom´ınios de uma das principais certifica¸cões de segu-ran¸ca da informa¸cão (Zochio,2016). Tem o principal objetivo de ocultar o real significado da mensagem e não a mensagem propriamente dita. Mesmo com a criptografia, as in-forma¸cões não estão totalmente seguras, visto que caso sejam interceptadas, existem estu-dos e algoritmos de criptoanálise que permitem, não instantaneamente, que a mensagem seja descriptografada, sem conhecer o método utilizado para criptografar.

Conforme as necessidades, o controle de acesso é uma forma de garantir, através de regras e pol´ıticas, quem tem a real necessidade de saber determinadas informa¸cões. Jun-tamente com a autentica¸cão, que consiste em determinar a identidade de uma pessoa, de forma a garantir que somente um usuário tenha acesso. Isso se deve de forma a combinar algo que o usuário possua (como um cartão inteligente ou um dispositivo que armazena chaves), algo que a pessoa sabe (como uma senha), e algo que a pessoa é (como sua im-pressão digital) (Goodrich e Tamassia,2013). A autoriza¸cão se deve ao fato da necessidade do usuário de acordo com as pol´ıticas de de controle de acesso.

Medidas para garantir a integridade dos dados podem ser tomadas a partir da rea-liza¸cão de cópias de seguran¸ca, garantindo sempre que os dados possam ser restaurados caso tenham sido alterados de forma não intencional ou não autorizada; somas de veri-fica¸cão, que consiste na cria¸cão de uma fun¸cão que mapeia o conteúdo de um arquivo para um valor numérico, qualquer altera¸cão em seu conteúdo resultará em um valor de sa´ıda diferente; e códigos de corre¸cão de dados, onde são utilizados métodos de armazenamento de dados de tal forma que qualquer altera¸cão podem ser facilmente detectadas e corri-gidas. Há também a seguran¸ca f´ısica, que consiste em formas de proteger o dispositivo f´ısico e redundâncias computacionais que indicam a duplica¸cão de componentes importan-tes, aumentando a confiabilidade e garantindo a seguran¸ca de um sistema, bem como sua disponibilidade.

2.1.2 Os Principais Atributos da Seguran¸ca de Informa¸c˜ao

(27)

autentica¸c˜ao, autoriza¸c˜ao e seguran¸ca f´ısica.

• Privacidade: a qual garante que os indiv´ıduos controlem ou influenciem quais in-forma¸cões sobre eles podem ser coletadas e armazenadas, e por quem e para quem tais informa¸cões podem ser reveladas (Brown e Stallings,2017). Tendo o intuito prin-cipal de manter em sigilo tudo o que os usuários desejem que terceiros não saibam. Admitindo que muitas informa¸cões dos usuários são coletadas em redes sociais ou até em ferramentas de pesquisa na internet, visando propor uma melhor experiência para os mesmos.

• Integridade: propriedade de que a informa¸cão não foi alterada de maneira não au-torizada Goodrich e Tamassia(2013). Sua inten¸cão é manter a real informa¸cão dos dados sem que não haja nenhuma altera¸cão em seu conteúdo. Os métodos cita-dos anteriormente para proteger a confidencialidade da informa¸cão também ajudam a evitar que os dados sejam modificados. Além deles, existem várias ferramentas como cópias de seguran¸ca, somas de verifica¸cão e códigos de corre¸cão de dados, que auxiliam na manuten¸cão da integridade.

• Disponibilidade: propriedade da informa¸c˜ao ser acess´ıvel e modific´avel no momento oportuno por aqueles que estejam autorizados a fazer isso (Goodrich e Tamassia,

2013). O que faz com que sempre que necessária uma informa¸cão, a mesma esteja sempre dispon´ıvel e de rápido acesso. Também existem ferramentas que garantem a disponibilidade, dentre elas prote¸cões f´ısicas e redundâncias computacionais.

2.1.3 Tipos de Ataque

Todos os diferentes pontos em que um invasor pode entrar em um sistema e onde pode obter dados, são descritos como vetores de ataque (Righetto, 2018). Estes podem ser desde os caminhos para dados de entrada e sa´ıda de aplicativos, como dados valiosos, aos códigos que protegem esses dados. Todos estes, vêm a servir de vetor de ataque, visto que qualquer um pode vir a ser usado para que haja um acesso de atacantes indesejados ao dispositivo.

A Android busca classificar aplicativos que representam um risco potencial à segu-ran¸ca dos usuários ou de seus dados. Esses tipos de aplicativos são geralmente chamados de “malware”. No entanto, esse termo não possui uma taxonomia bem definida e aceita universalmente. Por isso, nos referimos a esses aplicativos como Potentially Harmful Ap-plications (PHAs) termo que em português significa “Aplica¸cões Potencialmente Nocivas”. Buscando melhorar o entendimento a respeito, (Google, 2017) classifica os PHAs da se-guinte forma:

• Backdoors: aplica¸cões que permitem a execu¸cão de opera¸cões indesejadas, potenci-almente prejudiciais, controladas remotamente em um dispositivo.

(28)

• Comercial Spyware: Qualquer aplica¸cão que transmita informa¸cões confidenciais do dispositivo sem o consentimento do usuário e não exibe uma notifica¸cão persistente de que isso está acontecendo.

• Data Collection: Qualquer aplica¸cão que colete informa¸cões sobre aplicativos ins-talados, informa¸cões sobre contas de terceiros ou nomes de arquivos no dispositivo sem o consentimento do usuário.

• Denial of Service: aplica¸cões que, sem o conhecimento do usuário, executa um ataque de nega¸cão de servi¸co ou faz parte de um ataque de nega¸cão de servi¸co distribu´ıdo contra outros sistemas e recursos. Isso pode acontecer enviando um alto volume de solicita¸cões Hypertext Transfer Protocol (HTTP) traduzindo “Protocolo de Trans-ferência de Hipertexto”para produzir carga excessiva em servidores remotos. • Hostile Downloader : aplica¸cões que, por si só, não são potencialmente prejudiciais,

mas faz o download de outras aplica¸c˜oes potencialmente prejudiciais.

• Mobile Billing Fraud : aplica¸c˜oes que cobram dos usu´arios de maneira intencional-mente enganosa.

• SMS Fraud : aplica¸cões que cobram dos usuários o envio de SMS premium sem o consentimento ou tentam disfar¸car suas atividades de SMS, ocultando acordos de divulga¸cão ou mensagens SMS da operadora de celular, notificando o usuário sobre cobran¸cas ou confirmando a assinatura.

• Call Fraud : aplica¸cões que podem adicionar cobran¸cas à conta de celular de um usuário fazendo chamadas dispendiosas sem informá-las primeiro.

• Toll Fraud : aplica¸cões que enganam os usuários para se inscrever ou comprar conteúdo através de sua conta de telefone celular.

• Non-Android Threat : aplica¸cões que contém amea¸cas não Android. Essas aplica¸cões não podem causar danos ao usuário ou ao dispositivo Android, mas contêm compo-nentes potencialmente prejudiciais a outras plataformas.

• Phishing: aplica¸cões que fingem vir de uma fonte confiável, solicitam credenciais de autentica¸cão e/ou informa¸cões de faturamento de um usuário e envia os dados para um terceiro.

• Privilege Escalation: aplica¸cões que comprometem a integridade do sistema, que-brando a caixa de prote¸cão do aplicativo ou alterando ou desativando o acesso às principais fun¸cões relacionadas à seguran¸ca.

• Ransomware: aplica¸c˜oes que usam controle parcial ou extenso de um dispositivo ou dados em um dispositivo e exige pagamento para liberar ao controle.

• Rooting: aplica¸cões de escalonamento de privilégios que cria root no dispositivo. • Spam: aplica¸cões que enviam mensagens comerciais não solicitadas para a lista de

(29)

usu´ario.

De acordo com o CERT.br (2018b), os casos de incidentes com PHAs tem variado bastante de acordo com os últimos anos, para compara¸cão, podemos ver a Figura2.1. O total de notifica¸cões recebidas em 2018 foi de 676.514, número 19% menor que o total de 2017 e o total de notifica¸cões recebidas em 2017 foi de 833.775, número 29% maior que o total de 2016. Mas um dos fatores que chamou aten¸cão foi no ano de 2014 o qual o total de notifica¸cões recebidas foi de 1.047.031, este número foi 197% maior que o total de 2013, oriundo principalmente de ataques Denial of Service (DoS), o qual busca atacar a “disponibilidade”de um sistema.

Figura 2.1: Total de Incidentes Reportados ao CERT.br por Ano

Fonte: CERT.br(2018b)

2.2 Desenvolvimento em Dispositivos M´

oveis

O Android possui uma pilha de software com base em Linux de código aberto criada para diversos dispositivos (Google, 2018), o que faz com que desenvolvedores externos possam contribuir com a constru¸cão da plataforma de forma direta. Estes desenvolvedores conhecidos como Open Handset Alliance (OHA), que são os grandes influenciadores no mercado de tecnologia móvel, como por exemplo a Intel, LG, Motorola, Samsung, Dell entre muitos outros. Pelo fato da plataforma estar em constante desenvolvimento e os OHA possu´ırem grande influência, juntamente com o Google, eles tem o objetivo de criar uma plataforma moderna e flex´ıvel para o desenvolvimento de aplica¸cões corporativas (Lecheta,2016).

(30)

Para o desenvolvimento de uma aplica¸cão mobile é necessário ter o conhecimento de o que é uma Activity, que nada mais é uma janela que contém a interface do usuário da sua aplica¸cão. Um aplicativo pode conter zero ou mais Activities, garantindo que haja intera¸cão com o usuário. Desde o momento em que uma atividade aparece na tela até o momento em que está oculta, ela passa por vários estágios, conhecidos como ciclo de vida de uma Activity (Lee,2012), assim mostrado na Figura 2.2.

Figura 2.2: Ciclo de vida de uma Activity

Fonte: Adaptado de Lee(2012)

A classe base Activity determina uma s´erie de eventos que governam o ciclo de vida de uma atividade. A classe Activity define os seguintes eventos:

• onCreate() Chamado quando a Activity é criada pela primeira vez; • onStart() Chamado quando a Activity se torna vis´ıvel para o usuário; • onResume() Chamado quando a Activity come¸ca a interagir com o usuário; • onPause() Chamado quando a Activity atual está em pausa e a Activity anterior

est´a sendo retomada;

(31)

2.2.1 Principais Componentes do Android

O Android apresenta uma abordagem mais rica e complexa, oferecendo suporte a múltiplos pontos de entrada de aplicativos. As aplica¸cões devem prever que o sistema poderá inicializá-los em locais diferentes, dependendo do ponto em que se encontra o usuário e do que ele deseja fazer a seguir. Em vez de uma hierarquia de locais, seu programa é um grupo cooperante de componentes que podem ser inicializados a partir de um ponto fora do fluxo normal de seu aplicativo (Mednieks et al.,2012). Tais componentes serão descritos a seguir.

• Broadcast Receiver - Os aplicativos Android podem enviar ou receber mensagens de broadcast, ou em português transmissão, do sistema Android e outros aplicativos Android, semelhantes ao padrão de design de publica¸cão e assinatura. Essas trans-missões são enviadas quando ocorre um evento de interesse. Por exemplo, o sistema Android envia transmissões quando ocorrem vários eventos do sistema, como quando o sistema é inicializado ou o dispositivo come¸ca a carregar. Os aplicativos também podem enviar transmissões personalizadas, por exemplo, para notificar outros apli-cativos sobre algo em que possam estar interessados (por exemplo, alguns novos dados foram baixados). Os aplicativos podem se registrar para receber transmissões espec´ıficas. Quando uma transmissão é enviada, o sistema roteia automaticamente as transmissões para aplicativos que se inscreveram para receber esse tipo espec´ıfico de transmissão. De um modo geral, as transmissões podem ser usadas como um sistema de mensagens entre aplicativos e fora do fluxo normal do usuário (Google,

2019a).

• Content Provider - Auxiliam aplicativos a gerenciar o acesso aos dados armaze-nados por si mesmo, armazearmaze-nados por outros aplicativos e fornecer uma maneira de compartilhar dados com outros aplicativos. Eles encapsulam os dados e fornecem mecanismos para definir a seguran¸ca e constituem a interface padrão que os conecta em um processo com o código em execu¸cão em outro processo (Google,2019b). Eles permitir que outros aplicativos acessem e modifiquem com seguran¸ca os dados do aplicativo, conforme ilustrado na Figura 2.3.

• Permissions - O Android é um sistema operacional de privilégio separado em que cada aplicativo executa com uma identidade de sistema distinta (ID de grupo e de usuário do Linux). Partes do sistema também são separadas em identidades distin-tas. O Linux, por meio disso, isola os aplicativos uns dos outros e do sistema (Google,

2019d). O objetivo de uma permissão é proteger a privacidade de um usuário do Android. Os aplicativos devem solicitar permissão para acessar dados confidenci-ais do usuário (como contatos e SMS), além de certos recursos do sistema (como câmera e internet). Dependendo do recurso, o sistema pode conceder a permissão automaticamente ou solicitar ao usuário que aprove a solicita¸cão (Google, 2019d). As permissões do sistema são divididas em vários n´ıveis de prote¸cão. Os dois n´ıveis

(32)

Figura 2.3: Diagrama de Vis˜ao Geral do Gerenciamento de Acesso ao Armazenamento do Content Provider.

Fonte: Adaptado de Google(2019b)

de prote¸cão mais importantes que devem ser considerados são as permissões normais e perigosas:

– Permissões Normais: abrange áreas onde os aplicativos necessitam ter acesso a dados ou recursos fora da sandbox do aplicativo, mas apresenta pouco risco à privacidade do usuário ou à opera¸cão de outros aplicativos.

– Permissões Perigosas: cobrem áreas onde as aplica¸cões precisam de dados ou recursos que envolvem informa¸cões pessoais do usuário ou que podem afetar os dados armazenados do usuário ou a opera¸cão de outros aplicativos.

– Há algumas permissões que não se comportam como as normais nem as perigo-sas. SYSTEM ALERT WINDOW e WRITE SETTINGS são particularmente sens´ıveis, portanto, a maioria dos aplicativos não as devem usar, conhecidas com Permissões Especiais. Se um aplicativo precisa de uma dessas permissões, deve declarar a permissão no manifesto e enviar uma intent solicitando a autoriza¸cão do usuário.

Todas as permissões do sistema Android pertencem a grupos de permissão. Se um aplicativo solicita uma permissão perigosa listada no seu manifesto e não tem ne-nhuma permissão no grupo de permissões, o sistema mostra uma caixa de diálogo ao usuário que descreve o grupo de permissões que o aplicativo quer acessar. Se um aplicativo solicita uma permissão perigosa listada no seu manifesto e o apli-cativo já tem outra permissão perigosa no mesmo grupo de permissões, o sistema imediatamente concede a permissão sem nenhuma intera¸cão com o usuário (Google,

2019d). As permiss˜oes perigosas juntamente com seus grupos est˜ao listadas a seguir na Tabela 2.1.

(33)

MICROPHONE RECORD AUDIO

PHONE READ PHONE STATE, CALL PHONE, READ CALL LOG, WRITE CALL LOG, ADD VOICEMAIL, USE SIP, PROCESS OUTGOING CALLS

SENSORS BODY SENSORS

SMS SEND SMS, RECEIVE SMS, READ SMS, RECEIVE WAP PUSH, RE-CEIVE MMS

STORAGE READ EXTERNAL STORAGE, WRITE EXTERNAL STORAGE

• Intent - permite iniciar uma atividade em outro aplicativo descrevendo uma a¸cão simples que você gostaria de executar (como “exibir um mapa” ou “tirar uma foto-grafia”) em um objeto Intent. Esse tipo de intent é chamado de impl´ıcito, porque não especifica o componente do aplicativo a iniciar. Em vez disso, ele especifica uma a¸cão que fornece alguns dados com os quais realizar a a¸cão. Ao chamar startActi-vity() ou startActivityForResult() e passar um intent impl´ıcito, o sistema resolve-o para um aplicativo que pode processá-lo e inicia a Activity correspondente. Se hou-ver mais de um aplicativo que pode processar, o sistema apresentará ao usuário uma caixa de diálogo para escolher o aplicativo a usar (Google,2019c).

• Service - componente de aplicativo que pode executar opera¸cões de execu¸cão de-morada em segundo plano e não fornece uma interface com o usuário. Outro com-ponente do aplicativo pode iniciar um servi¸co e continua em execu¸cão em segundo plano, mesmo se o usuário alternar para outro aplicativo. Por exemplo, um servi¸co pode lidar com transa¸cões de rede, tocar música, executar Entrada/Sa´ıda de arqui-vos ou interagir com um Content Provider, tudo em segundo plano (Google,2019f). Existem três diferentes tipos de Service:

– Foreground: realiza opera¸cões que são percept´ıveis ao usuário, como por exem-plo, um aplicativo de áudio usaria um service em primeiro plano para reproduzir uma faixa de áudio. Este tipo de service continua em execu¸cão mesmo quando o usuário não está mais interagindo com a aplica¸cão.

– Background : executa opera¸cões que não são percebidas diretamente pelo usuário. Por exemplo, se um aplicativo usasse uma service para compactar seu armaze-namento, isso geralmente seria uma service em segundo plano.

– Bound : quando um componente do aplicativo chama bindService() para vin-culá-lo. Uma service bound ou em português vinculada oferece uma interface servidor-cliente que permite que os componentes interajam com a interface, en-viem solicita¸cões, recebam resultados, mesmo em processos com comunica¸cão interprocessual (IPC). Um servi¸co vinculado permanece em execu¸cão somente enquanto outro componente do aplicativo estiver vinculado a ele.

(34)

2.2.2 A Plataforma Android

Há muitos fatores econômicos que impulsionam o desenvolvimento de dispositivos móveis que são contrários à seguran¸ca: desenvolvimento rápido, custos agressivos e uma necessidade constante de ultrapassar os limites da experiência do usuário (Geater,2013). Com o intuito de melhorar o sistema para a utiliza¸cão do usuário, mas minimizando a seguran¸ca necessária para tal. Segundo a Worldpanel (2018), 94,2% destes dispositivos móveis presentes no Brasil, possuem o sistema operacional (SO) Android. Mas não so-mente no Brasil apresenta maior quantidade de usuários, em pa´ıses como China (80,4%), Austrália (62,9%), Estados Unidos (61,0%), também apresentam alto ´ındice de usabilidade deste SO, sendo assim o SO mais utilizado no mundo, sendo l´ıder na categoria, ocupando grande parte do mercado. A Figura2.4mostra como está organizada a sua arquitetura.

Figura 2.4: Pilha de Software do Android

Fonte: Adaptado deGoogle(2018)

No topo de todas camadas são encontradas as aplica¸cões, ou seja, os aplicativos funda-mentais escritos em Java ou em Kotlin, como e-mail, navegadores e calendários. Na camada seguinte (Frameworks), são encontrados todas as API’s e todos os recursos utilizados pe-los aplicativos como classes visuais, que incluem listas, grades, classes de texto, botões e até um navegador web embutido. View System (componentes utilizados na constru¸cão de aplicativos), Content Provider, possibilita que uma aplica¸cão possa acessar informa¸cões de outra aplica¸cão, ou até mesmo compartilhem suas informa¸cões, possibilitando a troca de informa¸cões entre aplicativos (Pereira e da Silva, 2009). Nesta camada também se encontram elementos como servi¸co de localiza¸cão, Bluetooth, Wi-Fi e USB.

(35)

máquina virtual através da ferramenta DX (Pereira e da Silva,2009), como também pode conter uma instância da máquina virtual ART (Android Runtime). Esta, veio com o ob-jetivo de substituir a Dalvik trazendo melhorias uma das quais era de otimizar o código ao máximo para melhorar o desempenho dos aplicativos através do Ahead-of-time (AOT) (Lecheta, 2017). Por último a camada do Kernel do Linux que é utilizada para servi¸cos centrais do sistema, como seguran¸ca, gestão de processos, pilhas de protocolos de rede e modelo de drives. Atua também como camada de abstra¸cão entre o hardware e o restante da pilha de software.

2.2.3 Boas Pr´aticas

Os dispositivos móveis além de funcionalidades similares aos dos computadores pesso-ais, também apresentam os mesmos riscos. Além disso, possuem caracter´ısticas que podem torná-los ainda mais atraentes para pessoas mal-intencionadas (CERT.br,2018a). Alguns destes riscos são caracterizados como o vazamento de informa¸cões, maior possibilidade de perda e furto, invasão de privacidade, instala¸cão de aplicativos maliciosos, propaga¸cão de códigos maliciosos.

Cuidados devem ser tomados, tanto antes, observando os mecanismos de seguran¸ca, restaurando as configura¸cões de fábrica, caso dispositivos usados, além de não obter dis-positivos que tenham suas permissões alteradas ou desbloqueados de forma ilegal, como depois. Após a posse de um dispositivo, instalar e manter sempre atualizados, antivi-rus, antispam entre outros mecanismos para manter a seguran¸ca do usuário. Casos de recep¸cão de SMS, e-mail e outros meios vindas de fontes desconhecidas, onde contenham links suspeitos, devem ser evitados.

Mas a seguran¸ca não deve ser somente na parte lógica, fisicamente o dispositivo também está vulnerável a amea¸cas de furto e roubo do mesmo. Sempre proteja suas senhas, sua privacidade e seus dados, de forma a garantir sempre os atributos principais da seguran¸ca, a confidencialidade, a integridade e a disponibilidade dos mesmos.

2.3 Seguran¸

ca em Dispositivos M´

oveis

Embora os dispositivos móveis executem sistemas operacionais, comuniquem-se se-gundo a pilha de protocolos Transmission Control Protocol, em português “Protocolo de Controlo de Transmissão”e o Internet Protocol, em português “Protocolo de Inter-net”(TCP/IP), que é o conjunto de protocolos de comunica¸cão entre dispositivos em rede, e acessem vários dos mesmos recursos que os computadores tradicionais, eles também têm seus próprios recursos exclusivos, que acrescentam novos vetores de ataques e protocolos `

a mistura (Weidman,2014). Por este motivo, as op¸cões de explora¸cão de falhas, no caso dos dispositivos móveis só aumenta, visto que poderão ser coletadas informa¸cões locais do dispositivo. Tendo acesso a contatos ou Short Message Service (SMS) que forem recebi-das, dependendo do objetivo do invasor, os privilégios podem ser alterados, o que pode vir a gerar um temor ainda maior. Desta brecha, há a possibilidade de ataque a outros

(36)

dispositivos que estejam conectados a uma Virtual Private Network (VPN) que o aparelho explorado.

2.3.1 Seguran¸ca em Android

Como já citado anteriormente na Se¸cão2.3, a plataforma Android possui como base de toda a sua estrutura a organiza¸cão do sistema operacional Linux, incluindo o Kernel, como mostrado na Figura2.4, Tal estrutura¸cão tem impacto direto na seguran¸ca da plataforma, o que implica dizer que aplicativos são impedidos de acessar recursos, arquivos ou até a base de dados de outras aplica¸cões.

Contudo, na camada superior do kernel, os servi¸cos do Android podem ser explorados, por exemplo, o processo que instala ou atualiza aplicativos (Guillaume Hiet,2019). Este processo, no Android, é bastante falho, visto que podem ser instalados aplicativos de fontes desconhecidas. Devido isso, não há controle dos certificados digitais usados para assinar aplicativos Android, e os aplicativos Android geralmente são auto-assinados e não podem ser rastreados para o desenvolvedor (Seacord,2015). Em fun¸cão disso, fica fácil a altera¸cão de código, inser¸cão de algo malicioso e compartilhá-lo.

Six (2012) citou que a amea¸ca causada pelo acesso root em um dispositivo no qual seu aplicativo esteja sendo executado vai além da de um usuário realizando essa a¸cão. Alguns dos malwares mais avan¸cados que visam aos dispositivos Android fazem uso de vulnerabilidades no n´ıvel do kernel para obter acesso como root. Por este motivo, estes malwares estão livres para modificarem seu acesso e obterem informa¸cões de grande parte das aplica¸cões presentes nos dispositivos.

Com todos esses fatores, pode-se entender que os dispositivos est˜ao suscept´ıveis `a diversos tipos de ataques. Visando isso, aGoogle (2019e) elaborou as Tabelas 2.2 e 2.3

que mostram a porcentagem dos tipos de PHA’s que foram detectados em dispositivos. As imagens, mostram que mesmo com todos os artefatos utilizados pela Google e até mesmo pelo hardware encontrado nos aparelhos, nenhum está imune à ataques externos. As taxas vistas em aplica¸cões de fora da Google Play são de maior relevância mas de justificativa por serem de fontes não conhecidas, vindas de qualquer parte.

Tabela 2.2: Taxa de Instala¸c˜ao de PHA da Google Play no Per´ıdo de Julho `a Setembro de 2019

Categoria Taxa de Instala¸c˜ao de PHA

DoS 0,10059669%

Spyware 0,04254252% Fraude Telefˆonica 0,014112836%

Phishing 0,0014049586% Cavalo de Troia 0,0010691937% Escalonamento de Privil´egios 0,0006981912% Backdoor 0,0004518898% Download Hostis 0,0003482942% Spam 0,0000380745% Spyware Comercial 0,0000287209% Malware do Windows 0,0000234364% Fraude de SMS 0,0000163002% Root 0,0000087742% Ransomeware 0,0000000033% Fraude de Chamada 0%

(37)

Fraude Telefˆonica 0,009698237% Root 0,0085315165% Backdoor 0,0074765165% Spyware 0,007352133% Phishing 0,0057274614% Spam 0,0042812793% Fraude de Chamada 0,0030539595% Escalonamento de Privil´egios 0,002285302%

Fraude de SMS 0,0013589009% Spyware Comercial 0,0004360971% Ransomeware 0,0002183715% Malware do Windows 0,0000015193%

2.3.2 Técnicas e Estratégias de Deteçcão de PHAs

Juntamente com o rápido crescimento das conexões de alta velocidade da internet a cria¸cão de novos PHAs também se teve de forma significativa. Para isto, várias técnicas podem ser utilizadas para a análise e deteçcão dos mesmos, as quais se dividem em dois tipos de solu¸cões.

• Análise Estática: neste tipo de análise, as informa¸cões coletadas sobre o programa e o seu comportamento esperado, são feitas através de análises impl´ıcitas e expl´ıcitas em seu código fonte. Apesar de serem rápidos e eficazes, se limitam principalmente pelo fato da utiliza¸cão de métodos de ofusca¸cão nos códigos. Isto, faz com que este tipo de análise seja incapaz de detectar malwares polimórficos (que se alteram de um usuário invadido para outro).

• Análise Dinâmica: ou também conhecida com Análise Baseada em Comportamento, consiste em coletar informa¸cões durante o tempo de execu¸cão, como chamadas que o sistema realiza, acesso à rede e altera¸cões de arquivos e memória. Uma vez que a análise do programa é feita em tempo real, não há problemas em rela¸cão à métodos de ofusca¸cão. Em contraponto a isto, é dif´ıcil simular as condi¸cões apropriadas, nas quais as fun¸cões maliciosas do programa serão ativadas (como o aplicativo vulnerável que o malware explora). Segundo, não está claro qual é o per´ıodo de tempo necessário para observar a aparência da atividade maliciosa de cada malware (Shabtai et al.,

2012).

Tais solu¸cões são implementadas principalmente usando métodos de análise basea-dos em assinaturas e baseabasea-dos em heur´ısticas. O método baseado em assinaturas, são comumente utilizados por fornecedores de antiv´ırus, dependendo principalmente da iden-tifica¸cão de assinaturas exclusivas que definem o PHA. São inúteis em rela¸cão à PHA desconhecidos. O método baseado em heur´ısticas, consiste na análise por meio de regras já determinadas por especialistas ou através do aprendizado de máquina. Isto definirá o comportamento maligno ou benigno, afim de analisar e detectar PHA desconhecidos.

(38)

A análise estática visa determinar o PHA antes do tempo de execu¸cão. Ele analisa os arquivos de origem e os classifica de acordo com as permissões e especifica¸cões do sistema desejadas. As principais vantagens deste método são que ele é rápido, possui baixos requisitos de recursos do sistema e bloqueia PHAs sem danificar o sistema. O ponto fraco do método é que ele é resistente apenas a métodos conhecidos e não pode impedir ataques de dia zero. Na análise dinâmica, tenta-se impedir softwares maliciosos examinando os dados do tempo de execu¸cão dos aplicativos. No entanto, o alto consumo de recursos e os recursos limitados de dispositivos móveis dificultam o uso do método em tais aparelhos em tempo real (S¸ahın et al.,2018).

2.4 Aprendizado de M´

aquina

O processo computacional de aprendizado de máquina busca inferir automaticamente e, portanto, generalizar, um modelo de aprendizado com base em um conjunto de dados finito e amostral. Os modelos de aprendizado utilizam-se de fun¸cões estat´ısticas para descrever as dependências entre os dados e a correla¸cão entre as entradas e sa´ıdas. De forma simples, este processo permite ao computador aprender, sem ser explicitamente programado, e otimizar sua análise e desempenho com base nos resultados de cada itera¸cão do modelo de aprendizado (de Souza Gomes,2019).

Conforme citado por (Canepa,2016), baseado na metodologia utilizada para o treina-mento e tendo em vista os dados fornecidos, os tipos de aprendizado podem ser divididos em:

• Aprendizado Supervisionado: consiste em operar com uma expectativa conhecida, na qual os conjuntos de dados de entrada neste contexto são chamados de conjuntos dos rotulados, objetivando conseguir encontrar instâncias semelhantesGollapudi(2016). O objetivo é aprender a rela¸cão instância/rótulo e com base nos conhecimentos adquiridos através do treinamento, ser capaz de realizar previsões de comportamento ou tomadas de decisão.

• Aprendizado Semi-Supervisionado: assim como na supervisionada, há um conjunto de dados rotulados. A diferen¸ca é que, além dos dados rotulados, temos dados nã orotulados também. O sistema deve analisar esses conjuntos e fazer o melhor poss´ıvel com o de dados não rotulados. Este tipo de abordagem é utilizado quando o conjunto de treinamento contém registros insuficientes para obter um resultado com boa precisão Lima e Pinto(2016).

• Aprendizado Não-supervisionado: é utilizado quando não se tem um alvo espec´ıfico, isto é, não há um rótulo inerente às caracter´ısticas dadas no exemplo Gollapudi

(2016). O objetivo é agrupar os exemplos através da semelhan¸ca entre os atributos. Este tipo de abordagem geralmente é utilizada em problemas onde a aprendizagem ´

e baseada na equivalência entre as instâncias, isto é, há uma busca pelo padrão de caracter´ısticas intr´ınsecas aos exemplos dados (Alves,2018).

• Aprendizagem por Refor¸co: Na aprendizagem por refor¸co, trabalha-se com a ideia de condicionamento (saber se uma a¸cão é correta ou não) a partir de recompensas ou puni¸cões. Esses condicionamentos são modelados a partir da análise do problema, onde ao término de uma a¸cão e a partir dos resultados desta, o módulo inteligente da

(39)

O clustering é uma tarefa de aprendizado não supervisionada que visa particionar um conjunto de objetos de dados não rotulados em grupos ou clusters homogêneos. A parti¸cão é executada de maneira que objetos no mesmo grupo sejam mais semelhantes entre si do que objetos em conjuntos diferentes (Montero et al., 2014). Uma questão bastante importante durante a análise de cluster é estabelecer o que queremos dizer com objetos de dados “semelhantes”, isto é, determinar uma medida de similaridade/dissimilaridade adequada entre dois objetos. Visando destacar ao máximo em que os dois grupos diferem mais.

´

E uma técnica em que dados semelhantes são colocados em grupos relacionados ou homogêneos sem o conhecimento avan¸cado das defini¸cões dos grupos (Aghabozorgi et al.,

2015). Existem alguns algoritmos que realizam o processo. Para ajuda da escolha, um dos principais critérios a serem avaliados foi que não fosse necessário a identifica¸cão da quantidade de clusters existentes nos objetos a serem estudados.

Com todos os critérios avaliados, o melhor que se enquadrou às necessidades deste tra-balho foi o Pvclust, que é um pacote R[i]para avaliar a incerteza na análise hierárquica de agrupamentos. A escolha se deu basicamente pelo fato de não ser necessária a identifica¸cão da quantidade de clusters existentes. Com isso, muitos dos classificadores conhecidos, como o K-means, foram descartados por este fato.

Para cada cluster no cluster hierárquico, as quantidades chamadas de p-values são calculadas por meio de reamostragem de autoescala de várias escalas. O p-value de um cluster é um valor entre 0 e 1, que indica o quão forte o cluster é suportado pelos dados. O pvclust fornece dois tipos de p-values: valor de AU (Approximately Unbiased) traduzindo para o português Aproximadamente Imparcial e valor de BP (Bootstrap Probability) tra-duzindo para o português Probabilidade de Inicializa¸cão. O p-value de AU, que é calculado por reamostragem de inicializa¸cão múltipla em várias escalas, é uma melhor aproxima¸cão ao p-value imparcial do que o valor de BP calculado por reamostragem de inicializa¸cão normal. O pvclust executa a análise hierárquica de cluster por meio da fun¸cão hclust e calcula automaticamente os p-values para todos os clusters contidos no cluster de dados originais (Suzuki e Shimodaira,2006).

A fun¸cão Hclust executa uma análise hierárquica de cluster usando um conjunto de diferen¸cas para os n objetos que estão sendo armazenados em cluster. Inicialmente, cada objeto é atribu´ıdo ao seu próprio cluster e, em seguida, o algoritmo prossegue iterativa-mente, em cada estágio unindo os dois clusters mais semelhantes, continuando até que exista apenas um único cluster. Em cada estágio, as distâncias entre os clusters são recal-culadas pela fórmula de atualiza¸cão de dissimilaridade de Lance-Williams, de acordo com o método de agrupamento espec´ıfico que está sendo usado que foi o Ward.D2 (R-Manual,

2019b). O método de Distância escolhido foi o binário, onde os vetores são considerados como bits binários, portanto, elementos diferentes de zero estão “ativados” e zero são “de-sativados”. A distância é a propor¸cão de bits em que apenas um está entre aqueles em que pelo menos um está (R-Manual,2019a).

[i]_{Pacote pvclust para ambiente R:}

(40)

(41)

Cap´ıtulo 3

Desenvolvimento

“Everything should be made as simple as possible, but not simpler.”

Albert Einstein

Este Cap´ıtulo está organizado da seguinte forma: Na Se¸cão 3.1 está uma breve in-trodu¸cão de como será feito o projeto, descrevendo a metodologia que será utilizada. Em seguida, na Se¸cão 3.2 está mostrando como foi feta todo o processo de explora¸cão dos dados obtidos, logo em seguida na Se¸cão 3.3 estão alguns dos experimentos que foram realizados durante a fase de testes para a verifica¸cão a veracidade dos clusters elaborados.

3.1 Procedimentos Metodol´

ogicos

O desenvolvimento deste trabalho se dá, inicialmente, nas questões relacionadas à se-guran¸ca dos dispositivos móveis, mais especificamente dispositivos com SO Android. Uma das principais funcionalidades será a análise de Android Package (APK), onde será poss´ıvel verificar se determinada aplica¸cão contém inten¸cões de disseminar ou alterar informa¸cões pessoais ou não. Com isso, poderá ser realizado o agrupamento em fam´ılias, de acordo com o que a aplica¸cão desejar fazer.

A implementa¸cão, se dará inicialmente, usado técnicas de análise estática, onde os PHA foram analisados através do seu código fonte, buscando Intents, Content Provider, ou algo que tenha caráter maligno, que fa¸ca com que a aplica¸cão falhe em um dos três principais atributos das seguran¸ca da informa¸cão.

Os PHA foram analisados de forma estática e classificados de acordo com quais in-forma¸cões desejam utilizar sem o consentimento do usuário. Foram comparados com a lista mostrada na Se¸cão 2.1.3, levando em considera¸cão que a verifica¸cão dos aplicativos avisa o usuário se ele detectar a tentativa de instala¸cão de qualquer aplicativo que se en-quadre em uma ou mais dessas categorias em seus dispositivos (Google,2017). Quando é detectado que um PHA contém recursos de várias categorias, ele é classificado com base nas caracter´ısticas mais prejudiciais.

A categoriza¸cão de caracter´ısticas mais prejudiciais é levada em considera¸cão o que a aplica¸cão visa alcan¸car. Como por exemplo, um aplicativo que obtém dados e pede pagamento para liberar tais dados como o Ransomeware é mais grave que uma aplica¸cão que tem acesso à fotos e SMS como um spyware. Tendo como base que o que agrava varia de acordo com o que se o PHA obteve. Com isso, foi feita uma compara¸cão entre o que o

(42)

22 Cap´ıtulo 3. Desenvolvimento

PHA utiliza e sua classifica¸c˜ao de acordo com o Android, buscando encontrar semelhan¸cas, afim de descobrir quais as caracter´ısticas mais utilizadas por cada tipo de PHA

3.2 Explora¸

c˜

ao das Aplica¸

c˜

oes Potencialmente Nocivas

O desenvolvimento deste trabalho tem origem, inicialmente, na coleta dos dados a serem analisados. Para tal, utilizou-se o dataset [i] obtido da KISA, com 682 aplica¸cões, para obter uma quantidade significativa das PHAs. Tendo acesso aos dados, foi necessário passar por um processo de descompressão, visto que os mesmos estavam como APK.

Conseguindo visualizar os arquivos que continham os códigos, durante a etapa de pr´ e-processamento foi necessário a utiliza¸cão de um programa chamado AXMLPrinter2[ii]para transformar o arquivo AndroidManifest.XML em formato leg´ıvel. Logo após ser poss´ıvel a leitura, foi rodado um script escrito em Shell, o qual buscava por linhas em todos os Manifestos que continham as permissões que foram utilizadas no desenvolvimento de cada aplica¸cão.

Com isso, foi elaborado um arquivo .txt contendo a lista com todos os 682 PHAs juntamente com as permiss˜oes utilizadas por cada um, processo chamado de extra¸c˜ao de atributos. O fluxo do processo foi exemplificado na Figura3.1.

Figura 3.1: Sele¸c˜ao de Modelo: Fluxo de Trabalho Esquem´atico

Fonte: Adaptado de Roth e Lange(2004)

Com os atributos adquiridos, foi poss´ıvel fazer algumas análises iniciais, admitindo que foram encontradas um total de 56 permissões nas aplica¸cões contidas do dataset. As permissões mais usadas, estando presente em 681 das 682 aplica¸cões foram INTER-NET e READ PHONE STATE. Já as permissões menos utilizadas, estando presente em apenas 1 aplica¸cão foram CHANGE WIFI MULTICAST STATE, INSTALL DRM, PRO-CESS INCOMING CALL e WRITE APN SETTINGS. As demais permissões estão entre essas faixas de utiliza¸cão.

Com o intuito de reduzir a quantidade de permiss˜oes encontradas, optou-se por remover as mais utilizadas e as que menos foram. Buscando obter melhores resultados quando fosse realizar o clustering.

Em seguida, foi elaborado um arquivo .csv onde continham todos os PHAs e as per-missões, sendo organizados como mostrado a última parte da Figura 3.1, nas linhas es-tavam contidas as aplica¸cões e nas colunas as permissões. As aplica¸cões que continham a permissão eram marcados com 1 (um) e nas que não tinham 0 (zero). Desse modo, poderia ser aplicado o método de clustering.

[i]

Dataset com todas as aplica¸c˜oes: https://drive.google.com/file/d/ 14m0GxgtJWDlVOvttmOlUfi54h9y7j-Bj/view?usp=sharing

[ii]_{Dispon´ıvel em:}

(43)

J

onde J corresponde ao coeficiente de similaridade de Jaccard, que ´e dado por J = M11

M01+ M10+ M11

. (3.2)

Nesta equa¸cão, são computadas as combina¸cões entre os valores 0 e 1 dos atributos de cada PHA, onde, sendo A e B dois vetores de dois PHAs,

• M11 representa o n´umero total de atributos onde tanto em A quanto em B possuem

valor 1;

• M01 representa o número total de atributos onde em A é 0 e em B é 1;

• M10 representa o número total de atributos onde em A é 1 e em B é 0;

• M₀₀ representa o n´umero total de atributos onde tanto em A quanto em B possuem valor 0.

A partir do cálculo destas distâncias, pôde-se elaborar uma matriz de dissimilaridade, como pode ser observada na Figura3.2 a seguir. Quanto mais semelhante as permissões contidas nos PHAs mais azul, com distância iguais ou mais próximas a zero e quanto mais diferentes mais vermelho com distâncias mais próximas ou iguais a um. A matriz de dissimilaridade consiste no grau de diferen¸ca entre o conteúdo existente em uma aplica¸cão e as demais.

Com esses dados obtidos, foi realizado o clustering a partir das permissões, utilizando o Pvclust para isto, obtendo um total de 23 clusters diferentes. O cluster e as permissões contidas no mesmo são mostrados na Tabela3.1

Tabela 3.1: Permiss˜oes por cluster.

Clusters Permiss˜oes Utilizadas

1 ACCESS WIFI STATE, INTERNET, MOUNT UNMOUNT FILESYSTEMS,

READ CONTACTS, READ PHONE STATE, RECEIVE SMS,

WRITE EXTERNAL STORAGE

2 ACCESS WIFI STATE, BIND DEVICE ADMIN, CALL PHONE, GET TASKS, INTER-NET, MOUNT FORMAT FILESYSTEMS, MOUNT UNMOUNT FILESYSTEMS, PROCESS OUTGOING CALLS, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, SYS-TEM ALERT WINDOW, WRITE EXTERNAL STORAGE

3 ACCESS NETWORK STATE, BIND DEVICE ADMIN, GET TASKS, IN-TERNET, KILL BACKGROUND PROCESSES, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RE-CEIVE SMS, SEND SMS, UPDATE APP OPS STATS, VIBRATE, WRITE CONTACTS, WRITE EXTERNAL STORAGE, WRITE SMS

4 INTERNET, READ PHONE STATE, READ SMS, RECEIVE SMS, SEND SMS, WRITE EXTERNAL STORAGE

5 ACCESS NETWORK STATE, CAMERA, INTERNET, READ PHONE STATE, SYS-TEM ALERT WINDOW, WRITE EXTERNAL STORAGE

(44)

24 Cap´ıtulo 3. Desenvolvimento

6 ACCESS NETWORK STATE, ACCESS WIFI STATE, BIND DEVICE ADMIN, CALL PHONE, CHANGE WIFI STATE, GET TASKS, INSTALL SHORTCUT, IN-TERNET, KILL BACKGROUND PROCESSES, MODIFY AUDIO SETTINGS, MO-DIFY PHONE STATE, READ CONTACTS, READ LOGS, READ PHONE STATE, RECEIVE BOOT COMPLETED, RECEIVE SMS, RESTART PACKAGES, SEND SMS, SYSTEM ALERT WINDOW, UNINSTALL SHORTCUT, VIBRATE, WAKE LOCK, WRITE CONTACTS, WRITE EXTERNAL STORAGE

7 ACCESS NETWORK STATE, ACCESS WIFI STATE, ADD SYSTEM SERVICE, BIND DEVICE ADMIN, CHANGE WIFI STATE, INTERNET, MOUNT UNMOUNT FILESYSTEMS, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE MMS, RECEIVE SMS, RE-CEIVE WAP PUSH, SEND SMS, WRITE EXTERNAL STORAGE, WRITE SMS 8 ACCESS WIFI STATE, CALL PHONE, GET TASKS, INSTALL SHORTCUT,

INTER-NET, MOUNT UNMOUNT FILESYSTEMS, READ PHONE STATE, READ SMS, RE-CEIVE SMS, WRITE EXTERNAL STORAGE

9 ACCESS NETWORK STATE, ACCESS WIFI STATE, BIND SERVICE ADMIN, CALL PHONE, CHANGE WIFI STATE, INTERNET, READ CALL LOG,

READ CONTACTS, READ PHONE STATE, READ SMS,

RE-CEIVE BOOT COMPLETED, RECEIVE MMS, RECEIVE SMS, RECORD AUDIO, SEND SMS, WAKE LOCK, WRITE CALL LOG, WRITE CONTACTS, WRITE EXTERNAL STORAGE, WRITE SETTINGS, WRITE SMS

10 ACCESS NETWORK STATE, ACCESS WIFI STATE, ADD SYSTEM SERVICE, BROADCAST STICKY, CALL PHONE, CHANGE WIFI STATE, INTERNET, MOUNT UNMOUNT FILESYSTEMS, READ CALL LOG, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, WAKE LOCK, WRITE CALL LOG, WRITE EXTERNAL STORAGE, WRITE SMS

11 BIND DEVICE ADMIN, CALL PHONE, INTERNET, MODIFY PHONE STATE, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, WRITE SETTINGS

12 ACCESS NETWORK STATE, BIND DEVICE ADMIN, CALL PHONE, CHANGE NETWORK STATE, CHANGE WIFI STATE, GET TASKS, INTER-NET, MOUNT UNMOUNT FILESYSTEMS, PROCESS OUTGOING CALLS, READ CALL LOG, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, VIBRATE, WRITE CALL LOG, WRITE EXTERNAL STORAGE, WRITE SETTINGS, WRITE SMS

13 BIND DEVICE ADMIN, INTERNET, READ PHONE STATE, READ SMS, RE-CEIVE BOOT COMPLETED, RERE-CEIVE SMS, SEND SMS, WRITE SETTINGS 14 ACCESS NETWORK STATE, ACCESS WIFI STATE, BIND DEVICE ADMIN,

CHANGE WIFI STATE, DISABLE KEYGUARD, GET TASKS, INTERNET, READ CONTACTS, READ EXTERNAL STORAGE, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, SYSTEM ALERT WINDOW, WAKE LOCK, WRITE EXTERNAL STORAGE, WRITE SETTINGS, WRITE SMS

15 ACCESS COARSE LOCATION, ACCESS MOCK LOCATION, AC-CESS NETWORK STATE, ACCESS WIFI STATE, CHANGE WIFI STATE, INTER-NET, MOUNT UNMOUNT FILESYSTEMS, READ PHONE STATE, READ SMS, RECEIVE SMS, SEND SMS, WRITE EXTERNAL STORAGE, WRITE SMS

16 ACCESS COARSE LOCATION, ACCESS FINE LOCATION, AC-CESS NETWORK STATE, ACCESS WIFI STATE, ANSWER PHONE, DE-LETE PACKAGES, INSTALL PACKAGES, INTERNET, READ CONTACTS, READ PHONE STATE, READ SMS, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, SYSTEM ALERT WINDOW, SYSTEM OVERLAY WINDOW, VI-BRATE, WAKE LOCK, WRITE CONTACTS, WRITE EXTERNAL STORAGE, WRITE SETTINGS

17 ACCESS NETWORK STATE, BIND DEVICE ADMIN, CALL PHONE, GET TASKS, INTERNET, MODIFY PHONE STATE, PROCESS OUTGOING CALLS,

RE-CEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, SYS-TEM ALERT WINDOW, VIBRATE, WAKE LOCK, WRITE CONTACTS, WRITE EXTERNAL STORAGE, WRITE SMS

18 CALL PHONE, INSTALL SHORTCUT, INTERNET, MOUNT UNMOUNT FILESYSTEMS,

RE-CEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS,

(45)

20 ACCESS NETWORK STATE, ACCESS WIFI STATE, ANSWER PHONE, BIND DEVICE ADMIN, CALL PHONE, DELETE PACKAGES, GET TASKS, INSTALL PACKAGES, INTERNET, MODIFY AUDIO SETTINGS, MO-DIFY PHONE STATE, MOUNT UNMOUNT FILESYSTEMS, PRO-CESS OUTGOING CALLS, READ CONTACTS, READ LOGS, READ PHONE STATE, RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS, SYS-TEM ALERT WINDOW, VIBRATE, WAKE LOCK, WRITE CONTACTS, WRITE EXTERNAL STORAGE

21 ACCESS COARSE LOCATION, ACCESS FINE LOCATION, AC-CESS MOCK LOCATION, BIND DEVICE ADMIN, CALL PHONE, IN-TERNET, READ CONTACTS, READ PHONE STATE, READ SMS, RE-CEIVE BOOT COMPLETED, RECEIVE SMS, RECORD AUDIO, SEND SMS, WRITE CONTACTS, WRITE SETTINGS

22 ACCESS NETWORK STATE, BIND DEVICE ADMIN, CALL PHONE, IN-TERNET, MOUNT UNMOUNT FILESYSTEMS, READ PHONE STATE,

RECEIVE BOOT COMPLETED, RECEIVE SMS, SEND SMS,

WRITE EXTERNAL STORAGE

23 MOUNT UNMOUNT FILESYSTEMS, WRITE EXTERNAL STORAGE

O processo para obten¸cão da lista de Inten¸cões foi semelhante ao das Permissões, mostrado na Figura3.1, o único processo que houve diferen¸ca foi no momento da extra¸cão de atributos. Apesar de todos os PHAs utilizarem as Inten¸cões LAUNCHER e MAIN, as mesmas não podem ser removidas pois há aplica¸cões que possuem somente estas Inten¸cões por serem iniciadores de a¸cões nas aplica¸cões.

A mesma análise foi feita com as Inten¸cões, sendo também calculada a distância binária e elaborado a sua matriz de dissimilaridade, apresentada na Figura3.3. Da mesma ma-neira, as partes indicadas em azul apresentam maior similaridade, que obteve valores iguais a zero ou próximos dele e as partes apresentadas em vermelho são as que mais se diferem, onde o máximo valor encontrado foi 0.96875.

Da mesma forma, foi utilizado o Pvclust para a realiza¸c˜ao do clustering. Com isso, foram obtidos 17 clusters, que podem ser observados juntamente com as Intents utilizadas por cada um na Tabela3.2a seguir.

Tabela 3.2: Intents por cluster.

Clusters Intents Utilizadas 1 LAUNCHER, MAIN

2 ACTION SHUTDOWN, BOOT COMPLETED, LAUNCHER, MAIN,