OWASP MAS: normas, guias e ferramentas para a segurança de apps móveis

A segurança das aplicações móveis tornou-se uma prioridade crítica num cenário onde smartphones e tablets concentram dados pessoais, credenciais de acesso, informação bancária e até dados empresariais sensíveis. Já ouviu falar em OWASP MAS?

OWASP Mobile Application Security (MAS), uma iniciativa da OWASP que pretende elevar o nível de segurança no ecossistema mobile.

O Mobile Application Security (MAS) é um conjunto de normas, guias técnicos e ferramentas focadas exclusivamente na segurança de aplicações móveis (Android e iOS).

Não se trata apenas de uma lista de vulnerabilidades. É uma framework completa que ajuda:

• Programadores
• Equipas de segurança
• Auditores
• Pentesters
• Organizações com requisitos de compliance

A desenvolver, testar e validar apps móveis com base em critérios bem definidos.

MASVS: o padrão de verificação

O coração do projeto é o MASVS (Mobile Application Security Verification Standard). Este padrão define requisitos de segurança organizados por níveis:

• MASVS-L1 – Segurança base (aplicações comuns)
• MASVS-L2 – Segurança reforçada (apps com dados sensíveis, como apps da área financeira ou saúde)
• MASVS-R – Resistência a engenharia reversa e manipulação

Na prática, o MASVS funciona como uma checklist técnica que permite medir o nível de maturidade de segurança de uma app.

Um dos projetos mais populares do OWASP é o OWASP Top 10. No entanto, enquanto essa lista identifica vulnerabilidades comuns em aplicações web, o MAS é específico para mobile e muito mais detalhado.

Para equipas técnicas que pretendem elevar o nível de segurança das suas apps, o MAS representa um excelente ponto de partida.