El informe que la empresa HP ha presentado sobre las pruebas de seguridad que han realizado a más de 2000 aplicaciones móviles de iOS ha destapado un secreto a voces, o lo que muchos ya sospechaban desde el boom del mercado de desarrollo móvil. Las apps que se han utilizadas de prueba tienen un uso comercial por unas 600 grandes empresas en 50 países. El informe muestra que 9 de cada 10 aplicaciones, es decir, un 90% tenían serias vulnerabilidades. Mike Armistead, vicepresidente y gerente general de HP, dijo que las pruebas se realizaron en 22 categorías distintas de Apple Store, con el foco puesto en herramientas que son utilizadas en business to business, como la banca o el comercio minorista.
HP explicó que el 97% de estas aplicaciones acceden a fuentes de información privadas de manera inapropiada dentro del propio dispositivo, y que el 86% resultó ser vulnerable a los ataques de inyección SQL. Este hecho es algo revelador para el desarrollo móvil, ya que parece que se está generando en grandes cantidades y realizando de manera inadecuada. Las guías de desarrollo de Apple pueden ayudar a los desarrolladores, pero esto no es suficiente para fortificar las aplicaciones, según comento Mike Armistead.
Las aplicaciones móviles están siendo utilizadas para extender la web corporativa en muchos de los casos, y lo que se está logrando es que las empresas abran una mayor superficie de ataque, comentó Armistead. No hay que irse muy lejos, para constatar esta realidad, y hace poco contábamos por aquí la presentación de Alejandro Ramos donde mostraba demostraciones prácticas de apps inseguras para iOS.
En su resumen de las pruebas, HP dijo que el 86% de las aplicaciones probadas carecía de los medios para protegerse o fortificar las vulnerabilidades comunes, tales como el uso indebido de las API de cifrado, Cross-Site Scripting y transmisión insegura de datos. El 75% de las aplicaciones no utilizaron técnicas de cifrado adecuadas para el almacenamiento de datos en los dispositivos móviles, lo que deja los datos no cifrados al alcance de un potencial atacante. Un porcentaje alto de las aplicaciones no implementaban SSL/HTTPS correctamente, pero ¿Cómo descubrían los desarrolladores los agujeros de seguridad? Los desarrarrolladores realizaban pruebas de penetración, pentesting.
Figura 1: Facebook Recover explota el almacenamiento de sesiones inseguras |
En su resumen de las pruebas, HP dijo que el 86% de las aplicaciones probadas carecía de los medios para protegerse o fortificar las vulnerabilidades comunes, tales como el uso indebido de las API de cifrado, Cross-Site Scripting y transmisión insegura de datos. El 75% de las aplicaciones no utilizaron técnicas de cifrado adecuadas para el almacenamiento de datos en los dispositivos móviles, lo que deja los datos no cifrados al alcance de un potencial atacante. Un porcentaje alto de las aplicaciones no implementaban SSL/HTTPS correctamente, pero ¿Cómo descubrían los desarrolladores los agujeros de seguridad? Los desarrarrolladores realizaban pruebas de penetración, pentesting.
La necesidad de desarrollar aplicaciones móviles de forma rápida para fines de negocios es uno de los principales factores que contribuyen y dan lugar a la debilidad de estas aplicaciones disponibles para su descarga pública. La debilidad que constituye el lado del cliente, está impactando en el lado del servidor también. "Creemos sinceramente que el ritmo y el costo de desarrollo en el espacio móvil ha obstaculizado los esfuerzos de seguridad", dice HP en su informe. Además, "La seguridad de aplicaciones móviles está todavía en su infancia" añadieron.
Si quieres tienes un libro de desarrollo de apps para iOS que enseña buenas prácticas de desarrollo, y además tienes esta conferencia para aprender buenas prácticas con ejemplos.
Si quieres tienes un libro de desarrollo de apps para iOS que enseña buenas prácticas de desarrollo, y además tienes esta conferencia para aprender buenas prácticas con ejemplos.
No hay comentarios:
Publicar un comentario