La seguridad de las aplicaciones de banca móvil ha mejorado mucho en los últimos años, aunque todavía existe un margen de mejora que se debe cumplir. Se ha publicar por parte de IOActive un reporte en el que se hace una comparativa con el año 2013. En este reporte se pretende observar las mejoras o no mejoras que se han llevado a cabo.
La conclusión que podemos sacar del informe es que la seguridad en las apps móviles ha mejorado en los dos últimos años, aunque las apps siguen siendo vulnerables. La investigación se llevó a cabo sobre 40 aplicaciones de banca para iOS de todo el mundo. La investigación se limito a buscar debilidades de seguridad del lado del cliente, no incluyendo ninguna prueba del lado del servidor. La metodología de pruebas se explica con detalle en el artículo publicado por IOActive.
La conclusión que podemos sacar del informe es que la seguridad en las apps móviles ha mejorado en los dos últimos años, aunque las apps siguen siendo vulnerables. La investigación se llevó a cabo sobre 40 aplicaciones de banca para iOS de todo el mundo. La investigación se limito a buscar debilidades de seguridad del lado del cliente, no incluyendo ninguna prueba del lado del servidor. La metodología de pruebas se explica con detalle en el artículo publicado por IOActive.
Figura 1: Resumen debilidades apps bancarias 2015 |
Hay 5 de las 40 aplicaciones auditadas que no validaban la autenticidad de los certificados SSL presentados, por lo que son susceptibles a ataques Man in the Middle. Más de un tercio de las aplicaciones contenían enlaces no seguros en toda la aplicación. Esta diferencia permitiría a un atacante interceptar tráfico e inyectar código arbitrario Javascript o HTML en un intento de crear un indicador o entrada falsa para estafas.
Además, un 30 por ciento de las aplicaciones no validan los datos entrantes dejándolos potencialmente vulnerables a inyecciones de Javascript. Los resultados son una mejora de lo que se vio en 2013, tal y como puede verse en la imagen. Esto llama la atención, ya que en 2015 no es que hayan mejorado mucho, pero como se ve es una mejora respecto al pasado.
Figura 2: Comparativa entre 2013 y 2015 |
La prueba también cubrió el análisis binario. En esta fase se vio que el 15 por ciento de las aplicaciones almacenan información sin cifrar, como por ejemplo acerca de los clientes, las transacciones de éstos, etcétera. Los ficheros dónde se almacena esta información son ficheros SQLite en texto plano.
Como conclusiones, el consultor Ariel Sanchez indica que la mayoría de las aplicaciones han aumentado la seguridad de los datos mediante la validación de certificados. A pesar de que los números se han reducido en general, todavía hay un gran número de aplicaciones que almacenan datos inseguros en el sistema.
No hay comentarios:
Publicar un comentario