Ya se trate de aplicaciones empresariales o de consumo, las aplicaciones móviles hoy en día enfrentan muchos problemas de seguridad. De hecho, un informe de Gartner afirma que más del 75% de las aplicaciones móviles fallan las pruebas de seguridad básicas.
La mayoría de las aplicaciones móviles, ya sea en los ecosistemas de Android, iOS o Windows Phone, no tendrán protocolos básicos de seguridad aceptables para el negocio. Parte del problema con la seguridad de las aplicaciones móviles es que los empleados descargan aplicaciones que acceden a activos empresariales o realizan funciones comerciales, pero la seguridad de las aplicaciones no es adecuada para proteger contra ataques o cumplir con los requisitos de seguridad establecidos por la política de la compañía.
Si bien existen numerosas razones por las que las aplicaciones móviles no logran alcanzar incluso el nivel básico de seguridad, la investigación muestra que el 75 por ciento de las violaciones de seguridad móvil hasta 2017 serán causadas por configuraciones incorrectas de la aplicación móvil , “en lugar del resultado de ataques profundamente técnicos en dispositivos móviles . ”
En Appknox.com, hemos escaneado y analizado más de 1000 aplicaciones y aquí hay algunos problemas comunes que hemos encontrado:
1. Almacenamiento inseguro de datos
En los EE. UU., La aplicación móvil Starbucks es una de las aplicaciones más utilizadas para el pago móvil. Los consumidores simplemente ingresan sus contraseñas una vez al activar la parte de pago de la aplicación y la usan una y otra vez para realizar compras ilimitadas sin tener que volver a ingresar su contraseña o nombre de usuario.
Esto puede parecer genial cuando hablas de conveniencia. La triste verdad es que el 16 de enero de 2014, se descubrió que la aplicación Starbucks, la aplicación más utilizada en los EE. UU. Con 10 millones de clientes, almacenaba credenciales de usuario en formato de texto sin formato. Cuando CNBC informó que los datos del usuario se habían visto comprometidos, 3 millones de personas eliminaron la aplicación de sus dispositivos móviles. En 24 horas, la aplicación cayó de la cuarta aplicación más taquillera al número 26. Starbucks se apresuró a lanzar una actualización más tarde esa semana, demasiado tarde.
El texto claro también muestra los puntos de seguimiento de ubicación geográfica de los usuarios. Con esta información en la mano, las personas no autorizadas también tendrían las credenciales para iniciar sesión en el sitio web de Starbucks. A menudo las personas usan el mismo nombre de usuario y contraseña en todas las cuentas. Esto significa que existe el potencial de comprometer cuentas de usuario adicionales.
2. Problemas de SSL
Uno de los problemas más comunes que hemos visto en las aplicaciones móviles es el de SSL. La mayoría de las veces, los desarrolladores no se sumergen profundamente en las aplicaciones SSL y la implementación a menudo es defectuosa. A menudo, los certificados SSL no se verifican y TrustManager se rompe. La falta de una protección adecuada de la capa de transporte es una invitación a los atacantes para explotar su aplicación.
3. Fugas de datos
Las marcas están en racha para obtener datos personales. ¿Por qué no deberían, después de todo, poder personalizar las ofertas de marketing para los consumidores es un objetivo comercial digital clave? Pero es esencial que este deseo de recopilar datos personales no comprometa la privacidad del consumidor.
Hemos escaneado muchas aplicaciones que utilizan proveedores de análisis de bajo grado y API de publicidad. Es importante vigilar qué, cómo, cuándo y dónde se mueven sus datos, ya que esta es una mina de oro de información que los hackers buscan activamente.
4. Entradas no confiables
Las aplicaciones móviles aceptan datos de varias fuentes y la ausencia de cifrado suficiente brinda a los atacantes un fácil acceso a las cookies y las variables de entorno. Cuando las decisiones de seguridad sobre autenticación y autorización se toman en función de los valores de estas entradas, los atacantes pueden eludir su seguridad.
Por ejemplo, en 2012, una falla en la seguridad de Skype permitió a los piratas informáticos abrir la aplicación de Skype y marcar números de teléfono arbitrarios mediante un simple enlace en el contenido de un correo electrónico. Del mismo modo, un error en el sistema operativo iPhone 1 permitió a los piratas informáticos escuchar conversaciones telefónicas cuando esos teléfonos estaban conectados a redes inalámbricas inseguras. Cualquier aplicación que tenga aberturas para aceptar datos de fuentes externas debe incluir comprobaciones en todas las entradas utilizadas para construir la aplicación.
5. Controles débiles del lado del servidor
No es raro que las empresas expongan a menudo los sistemas al crear sus primeras aplicaciones móviles. A menudo, estos sistemas anteriormente protegidos no están completamente investigados contra fallas de seguridad.
Aquí es donde surge el problema: la mayoría de las API de back-end suponen que una aplicación será lo único que accederá a los servidores. Sin embargo, los servidores a los que accede una aplicación deben tener medidas de seguridad para evitar que usuarios no autorizados accedan a los datos. Es fundamental que los servicios de fondo se refuercen contra los atacantes maliciosos. Esto significa que se deben verificar todas las API y emplear métodos de seguridad adecuados para garantizar que solo el personal autorizado tenga acceso.
Si desea leer más sobre esto, diríjase a esta publicación: los 5 principales problemas de seguridad en el desarrollo de aplicaciones móviles
