Avaliação de vulnerabilidades de computador em códigos QR do aplicativo bancário móvel “Wallink”
Resumo
O crescimento do setor bancário financeiro no Equador foi evidenciado pela digitalização de seus serviços, o que traz consigo novos desafios de segurança cibernética. Os aplicativos bancários móveis usam vários métodos de autenticação, como códigos QR, que podem apresentar vulnerabilidades que precisam ser descobertas para evitar que sejam exploradas por criminosos cibernéticos. Esta pesquisa teve como objetivo avaliar a segurança dos códigos QR no aplicativo bancário móvel “Wallink”, aplicando a metodologia de teste de segurança do padrão SP 800-115 do National Institute of Standards and Technology. Um total de 672 códigos QR foram gerados durante seis dias para decodificação, análise de padrões e criptografia, bem como análise estática e dinâmica do aplicativo. Os resultados revelaram um prefixo constante “PHIQR” seguido de 48 caracteres, o que poderia representar uma vulnerabilidade inicial de redução de entropia. Foi determinada uma probabilidade de 95,17% de que os códigos usem substituição polialfabética. A análise estática obteve uma pontuação de risco médio (46/100), identificando vulnerabilidades como o “Janus exploit” e permissões consideradas excessivas. A análise dinâmica mostrou uma configuração adequada dos protocolos TLS/SSL, mas práticas de armazenamento inadequadas. Essas descobertas permitiram que o nível de risco fosse medido em 2,83/5, determinando um risco médio para o uso de códigos QR. A avaliação de risco destaca a importância de reforçar a segurança por meio de algoritmos de criptografia mais robustos e melhores práticas de desenvolvimento seguro.
Downloads
##plugins.generic.paperbuzz.metrics##
Referências
Asociación de Bancos Privados del Ecuador [ASOBANCA]. (2022). El avance de la banca digital en Ecuador. https://lc.cx/kZP0Q-
Bhosale, V. P., Naik, P. G., Desai, S. B., & Patekar, P. (2023). Secure QR Code Transactions Using Mobile Banking App. In: T. Senjyu, C. So-In, A. Joshi, (eds). Smart Trends in Computing and Communications. (pp. 35–46). Springer. https://doi.org/10.1007/978-981-99-0838-7_4
Carbó-Valverde, S., Cuadros-Solas, P. J., & Rodríguez-Fernández, F. (2020). The Effect of Banks’ IT Investments on the Digitalization of their Customers. Global Policy, 11(1), 9–17. https://doi.org/10.1111/1758-5899.12749
Chatzoglou, E., Kambourakis, G., & Kouliaridis, V. (2021). A multi-tier security analysis of official car management apps for android. Future Internet, 13(3), 1–35. https://doi.org/10.3390/fi13030058
Di Nocera, F., Tempestini, G., & Orsini, M. (2023). Usable Security: A Systematic Literature Review. Information, 14(12), 641. https://doi.org/10.3390/info14120641
Focardi, R., Luccio, F. L., & Wahsheh, H. A. M. (2019). Usable security for QR code. Journal of Information Security and Applications, 48. https://doi.org/10.1016/j.jisa.2019.102369
Idris, M., Syarif, I., & Winarno, I. (2022). Web Application Security Education Platform Based on OWASP API Security Project. EMITTER International Journal of Engineering Technology, 10(2), 246–261. https://doi.org/10.24003/emitter.v10i2.705
Kopal, N. (2018). Solving Classical Ciphers with CrypTool 2. Proceedings of the 1st Conference on Historical Cryptology, 29–38. https://lc.cx/ZvacDy
Kusreynada, S. U., & Barkah, A. S. (2024). Android Apps Vulnerability Detection with Static and Dynamic Analysis Approach using MOBSF. Journal of Computer Science and Engineering, 5(1), 46–63. https://doi.org/10.36596/jcse.v5i1.789
National Institute of Standards and Technology [NIST]. (2008). Technical Guide to Information Security Testing and Assessment. https://doi.org/10.6028/NIST.SP.800-115
Pernpruner, M., Carbone, R., Sciarretta, G., & Ranise, S. (2023). An Automated Multi-Layered Methodology to Assist the Secure and Risk-Aware Design of Multi-Factor Authentication Protocols. IEEE Transactions on Dependable and Secure Computing, 21(4), 1935-1950. https://doi.org/10.1109/TDSC.2023.3296210
Superintendencia de Economía Popular y Solidaria [SEPS]. (2023). Resolución Nro. SEPS-IGT-IGS-INSESF-INR-INGINT-INSEPS-009. In Superintendencia de Economía Popular y Solidaria. https://lc.cx/K9JVNW
Surya, S., Jagtap, S. R., Ramnarayan, R., Priyadarshini, M., Ibrahim, R. K., & Alazzam, M. B. (2023). Protecting Online Transactions: A Cybersecurity Solution Model. 3rd International Conference on Advance Computing and Innovative Technologies in Engineering. https://doi.org/10.1109/ICACITE57410.2023.10183282
Wang, Y., Shen, Y., Su, C., Ma, J., Liu, L., & Dong, X. (2020). CryptSQLite: SQLite with High Data Security. IEEE Transactions on Computers, 69(5), 666–678. https://doi.org/10.1109/TC.2019.2963303
Zhou, Y., Hu, B., Zhang, Y., & Cai, W. (2021). Implementation of Cryptographic Algorithm in Dynamic QR Code Payment System and Its Performance. IEEE Access, 9, 122362–122372. https://doi.org/10.1109/ACCESS.2021.3108189
Copyright (c) 2024 Carlos Fajardo, Marco Yamba-Yugsi, Eduardo Mauricio Campaña Ortega
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
