Las aplicaciones móviles presentan una serie de riesgos para el usuario final y sus datos debido a la naturaleza de una plataforma móvil. Los dispositivos móviles pueden presentar una variedad de vectores de ataque debido a su conexión constante a Internet, ya sea a través de una red de la empresa (conexión wifi o VPN) o conexión 3G. La naturaleza de los dispositivos móviles presenta una serie de áreas de riesgo específicas que no son exclusivas de las aplicaciones móviles. Estos riesgos se pueden dividir en las siguientes categorías:
1. Monitoreo de actividades y recuperación de datos.
La naturaleza restringida de los ecosistemas móviles hace que sea difícil determinar qué está haciendo su sistema y qué información se está recopilando. La mayoría de los sistemas operativos móviles recopilan activamente datos de usuario con fines analíticos. Esta información se puede utilizar para explotar el sistema de otras maneras, como obtener acceso para obtener información privilegiada en el sistema (tokens de autenticación, información personal, información bancaria, etc.)
- ¿Cuál es el método de cifrado más seguro disponible?
- ¿Es seguro deshabilitar la protección CSRF en un área solo de administrador en una aplicación Django?
- Cómo eliminar el malware CryptoPHP de mi sitio web de WordPress
- ¿Cómo se desarrolló el antivirus?
- ¿Qué tan fácil es hackear Windows Firewall hoy?
2. Fugas de datos confidenciales
El uso legítimo de una aplicación de la información del dispositivo y las credenciales de autenticación pueden implementarse de manera deficiente exponiendo estos datos confidenciales a terceros. Estos datos pueden incluir lo siguiente:
– Ubicación
– Información de identificación del propietario: nombre, número, identificación del dispositivo
– Credenciales de autenticación
– Fichas de autorización
3. Almacenamiento inseguro de datos confidenciales
Las aplicaciones móviles a menudo almacenan datos confidenciales, como números PIN de sistemas bancarios y de pago, números de tarjetas de crédito o contraseñas de servicios en línea. Este tipo de datos confidenciales siempre debe almacenarse en un formato cifrado, pero este no es necesariamente el caso. Las aplicaciones móviles deben usar una criptografía sólida para evitar que los datos se almacenen de una manera que permita la recuperación. Almacenar datos confidenciales sin cifrado en medios extraíbles, como una tarjeta micro SD, es especialmente riesgoso.
4. Transmisión de datos confidenciales inseguras
La implementación de SSL y otras formas de criptografía se puede realizar de forma incorrecta en dispositivos móviles, exponiendo aún más la información confidencial a terceros maliciosos. Un ejemplo importante de esto fue el error iOS SSL Goto que fue parcheado recientemente.
5. Contraseña / claves codificadas
Las aplicaciones pueden tener tokens de autenticación u otra información confidencial codificada en ellos, ya sea por pereza o supervisión por parte del programador. Esto puede proporcionar otro vector de ataque que permita la explotación de una aplicación con el fin de robar datos. Si bien esto puede no ser un problema con todas las aplicaciones móviles, si ocurre, puede presentar un problema mayor para el sistema en general.
Las aplicaciones móviles proporcionan una serie de vectores de ataque nuevos y antiguos que pueden y serán explotados para obtener información privilegiada. Si bien algunas de estas vulnerabilidades son exclusivas del ecosistema móvil, esto no hace que estos dispositivos sean más o menos vulnerables que cualquier otra red. La forma más efectiva de proteger cualquier dispositivo, ya sea tradicional o móvil, es la educación y la conciencia del usuario para evitar la explotación de esos defectos que no se pueden reparar.