Atestación de dispositivos: una capacidad clave para SoftPOS y aplicaciones de alta seguridad

Para proteger eficazmente una aplicación móvil contra ataques, los equipos de desarrollo deben tener un conocimiento profundo de las amenazas relevantes y los riesgos técnicos y comerciales asociados que plantean.

En un mundo ideal, los desarrolladores de aplicaciones móviles podrían confiar en la seguridad de la plataforma móvil. Sin embargo, la realidad es que los dispositivos móviles no siempre son confiables y deben ser tratados como tales. Hay varias razones para esto, incluida la falta de parches de seguridad oportunos, dispositivos obsoletos y vulnerabilidades de día cero. Dado este, los desarrolladores de aplicaciones simplemente no pueden confiar en la plataforma móvil en sí para proporcionar la seguridad que requieren sus aplicaciones, claves y datos.

Por lo tanto, es fundamental que las aplicaciones móviles sean capaces de protegerse a sí mismas. Deben permanecer seguros cuando se ejecutan en un entorno inseguro, incluso uno que haya sido infectado con malware o comprometido como resultado de vulnerabilidades explotadas en el sistema operativo principal (por ejemplo, Android o iOS).

Si bien existen herramientas de protección de software disponibles para proteger las aplicaciones móviles, el desafío es que la mayoría de las herramientas de protección de aplicaciones son de naturaleza estática y no puede detectar la mayoría de los riesgos de seguridad que presentan las plataformas inseguras. En consecuencia, existe una necesidad urgente de capacidades avanzadas de detección de amenazas. En particular, dado que el futuro de las soluciones de punto de venta basadas en software (SoftPOS) está en los dispositivos comerciales listos para usar (COTS), es fundamental contar con una solución eficaz que funcione en todos los dispositivos.

Evolución de la protección de aplicaciones móviles

Para establecer una sólida seguridad de aplicaciones móviles, los equipos deben emplear una estrategia de defensa en profundidad. Esto incluye identificar los riesgos y amenazas aplicables a la aplicación móvil y establecer un diseño de seguridad adecuado. Este diseño debe proporcionar garantías adecuadas contra la ingeniería inversa, la manipulación y la extracción de claves y datos.

La mayoría de las aplicaciones móviles y las herramientas de protección de claves normalmente incorporan capacidades de protección y detección de amenazas en la aplicación durante el tiempo de construcción. Según las herramientas y la configuración, esto puede incluir capacidades para evadir la detección de raíz y detectar depuradores, emuladores y herramientas de instrumentación, como Frida, Magisk, Cydia y Xposed. Sin embargo, existe un problema crítico: estas reglas de detección están «codificadas» en la aplicación móvil, mientras que las capacidades y herramientas del atacante evolucionan continuamente.

Esta es la razón por las defensas estáticas no son suficientes para aplicaciones que necesitan seguridad robusta y continua, como aplicaciones bancarias, billeteras móviles, SoftPOS, aplicaciones de administración de derechos digitales (DRM), autenticación móvil y aplicaciones m-health. Para estas aplicaciones, la conciencia dinámica adicional sobre amenazas es un requisito fundamental. Al establecer estas defensas, los equipos no pueden considerar confiables las plataformas móviles COTS. Esto es especialmente cierto dado que las aplicaciones móviles generalmente se ejecutan en una amplia variedad de dispositivos, incluidos los de una variedad de proveedores, con diferentes modelos y factores de forma, diferentes versiones de hardware y sistemas operativos, diferentes niveles de parches de seguridad, aplicaciones descargadas de diferentes tiendas de aplicaciones. , y así.

Con el fin de establecer un enfoque basado en la gestión de riesgos para la seguridad de las aplicaciones móviles, la aplicación móvil debe ser capaz de Certificar que el estado del entorno en el que opera. En otras palabras, la aplicación móvil debe ser consciente de las amenazas activas y potenciales en su entorno circundante.. Esto requiere la capacidad de obtener visibilidad de amenazas en tiempo de ejecución y tomar las medidas de mitigación adecuadas si se detectan amenazas.

Tener visibilidad procesable de amenazas en tiempo de ejecución impulsa la próxima evolución de la seguridad de aplicaciones móviles y la gestión de riesgos, lo que permite la autoprotección de aplicaciones basada en políticas. Si bien muchas soluciones estáticas en tiempo de construcción plantean limitaciones significativas, la mayoría de los desarrolladores de soluciones SoftPOS carecen del tiempo, los recursos y la experiencia necesarios para crear las capacidades de atestación avanzadas que requieren.

Por qué el estándar PCI MPoC requiere una solución RASP robusta

Los pagos móviles en COTS (MPoC) de la industria de tarjetas de pago (PCI) proporcionan un estándar para toda la industria para las soluciones SoftPOS. Al cumplir con estos estándares, las soluciones SoftPOS permitirán a los comerciantes recibir pagos en dispositivos habilitados para NFC, incluidos teléfonos inteligentes y tabletas con Android e iOS.

Programado para su lanzamiento a fines de 2022, se espera que PCI MPoC acelere la adopción global de soluciones SoftPOS por parte de los comerciantes. Para participar, los desarrolladores deberán tener sus soluciones certificadas PCI MPoC. Esta certificación requiere que las soluciones sean evaluadas por laboratorios de seguridad acreditados para garantizar que las soluciones cumplan efectivamente con los requisitos de seguridad del estándar, que incluye requisitos de robustez de seguridad medibles..

Cómo Zimperium permite una seguridad de aplicaciones móviles robusta y compatible con PCI

La seguridad representa un requisito integral para las soluciones SoftPOS y la certificación PCI MPoC. Dado eso, es importante usar herramientas de seguridad de aplicaciones móviles probadas, como Zimperium. MAPAS. MAPS facilita a los desarrolladores de soluciones de pago móvil de todo el mundo desarrollar soluciones seguras y aplicaciones móviles compatibles.

MAPS ofrece capacidades integrales que abordan todas las necesidades de seguridad de un desarrollador de aplicaciones móviles. MAPS permite a los desarrolladores de SoftPOS cumplir con los requisitos de PCI MPoC. Esta suite presenta estas soluciones de seguridad de aplicaciones móviles líderes:

  • zKeyBox: zKeyBox ofrece tecnología de punta, criptografía de caja blanca que protege sus claves y secretos de cifrado mientras oscurece los algoritmos criptográficos para que la lógica de ejecución de una aplicación no sea visible para los atacantes, incluso si obtienen el control del dispositivo. PIN seguro es una capacidad clave dentro de la solución zKeyBox. A lo largo del proceso de ingreso y encriptación del PIN, la clave de encriptación del PIN, el PIN y los dígitos individuales del PIN siempre están protegidos y nunca aparecen en la memoria del dispositivo.
  • zescudo: esta solución ofrece protección avanzada para el código fuente, la propiedad intelectual (IP) y los datos de una aplicación. zShield protege el código de una variedad de posibles ataques, incluida la ingeniería inversa y la manipulación del código.
  • zDefender: zDefend es una herramienta de certificación de dispositivos basada en el aprendizaje automático. La herramienta ofrece reconocimiento del tiempo de ejecución a través de RASP. Con un motor de aprendizaje automático, la solución ofrece una gran cantidad de telemetría y análisis de amenazas para abordar las necesidades de certificación y monitoreo de MPoC. zDefend protege contra ataques de día cero y se puede actualizar de forma inalámbrica sin necesidad de reconstruir o redistribuir la aplicación.
  • zescanear: con esta solución, puede analizar el binario de su aplicación en busca de vulnerabilidades normativas, de seguridad y de privacidad que un atacante pueda aprovechar.

Si bien la adopción global a gran escala de SoftPOS sin contacto está a la vuelta de la esquina, Zimperium ha estado trabajando con los desarrolladores de SoftPOS durante años. Desde 2017, hemos permitido que docenas de desarrolladores de SoftPOS logren su certificación de seguridad con marca de pago y estándares PCI.

Si bien la seguridad es un juego continuo del gato y el ratón, Zimperium brinda protección comprobada y continua para sus aplicaciones móviles, incluso contra los ataques y las herramientas de los atacantes más recientes. Nuestra única misión es asegurar los dispositivos móviles y las aplicaciones mientras ayudamos a nuestros socios a llevar sus soluciones al mercado lo antes posible para que puedan estar listos para la fiebre de SoftPOS.

Acerca de Zimperium

Zimperium es un líder mundial en seguridad de aplicaciones y dispositivos móviles. La suite de protección de aplicaciones móviles (MAPS) de Zimperium ayuda a los desarrolladores a crear aplicaciones móviles seguras y sólidas, altamente resistentes a los ataques de expertos. Estas herramientas se usan ampliamente en la industria financiera para proteger las aplicaciones de banca móvil, pago móvil y SoftPOS. MAPS es la única plataforma unificada que combina una protección integral en la aplicación con visibilidad centralizada de amenazas. La plataforma proporciona capacidades de protección de aplicaciones, protección de claves, escaneo de aplicaciones y protección en tiempo de ejecución.

Para obtener más información sobre cómo asegurar su aplicación SoftPOS para MPoC, póngase en contacto con nosotros hoy.

Fuente del artículo

Deja un comentario