Las pruebas de penetración de aplicaciones móviles brindan a las organizaciones la confianza y la tranquilidad de saber que las aplicaciones móviles que desarrollan cumplen con los estándares de la industria en cuanto a seguridad, privacidad y cumplimiento. En algunas industrias, como las finanzas o la atención médica, las organizaciones deben realizar pruebas de penetración para cumplir con los requisitos reglamentarios. Otros optan por las pruebas de penetración de aplicaciones de iOS y Android cuando crean una nueva aplicación móvil, cuando una aplicación maneja datos confidenciales o cada vez que se embarcan en un nuevo lanzamiento importante.
Muchos equipos de appdev y appsec enfrentan escasez de personal, carecen de las habilidades para realizar pruebas exhaustivas de aplicaciones móviles o desean una verificación independiente de un tercero. Como resultado, contratan a un socio externo para realizar una prueba de penetración manual basada en un modelo de amenaza exhaustiva de toda la superficie de ataque móvil para descubrir vulnerabilidades.
Sin embargo, seleccionar el socio de pruebas de penetración de aplicaciones móviles adecuado puede ser un desafío. El nivel de experiencia y calidad del servicio varía dramáticamente. Tomar la decisión equivocada significa que las aplicaciones móviles pueden entrar en producción llenas de errores de seguridad para que los atacantes los encuentren o riesgos de privacidad/cumplimiento que podrían hacer que los reguladores lo multen. Estos son algunos factores clave a tener en cuenta al seleccionar un socio de confianza para llevar a cabo esta tarea crítica.
- Elija un proveedor experimentado de pruebas de penetración dedicado a dispositivos móviles.
Busque una empresa que contrate evaluadores de penetración experimentados en lugar de novatos y se centre exclusivamente en las pruebas de penetración de aplicaciones móviles. Los analistas de seguridad deben tener un conocimiento profundo de la superficie de ataque móvil y comprender una amplia variedad de vulnerabilidades. Idealmente, el equipo tendrá una combinación de experiencia en fundamentos de seguridad, análisis forense e ingeniería inversa. Los antecedentes de desarrollo de aplicaciones móviles anteriores y recompensas por errores también son ventajas.
Busque una empresa que contrate evaluadores de penetración experimentados en lugar de novatos y se centre exclusivamente en las pruebas de penetración de aplicaciones móviles.
• Descubra qué herramientas y técnicas utiliza el equipo de pruebas de penetración móvil.
Ninguna herramienta es suficiente, así que espere que el pen tester use una combinación de herramientas personalizadas, comerciales y de código abierto para ejecutar pruebas manuales de datos en reposo, transmisión de red, API de back-end e ingeniería inversa. Los investigadores de NowSecure desarrollaron el popular Frida y Radar herramientas que se encuentran en la mayoría de los juegos de herramientas de analistas de aplicaciones móviles. Otras herramientas útiles para las pruebas de penetración de aplicaciones móviles incluyen apktool, Burp Suite, Drozer, Ghidra, Hopper, IDA Pro, mitmproxy, OWASP Zed Attack Proxy (ZAP) y Wireshark, entre otras. NowSecure Workstation automatiza aspectos de las pruebas de penetración para ayudar a los analistas de seguridad móvil a maximizar su productividad y lograr resultados repetibles.
- Asegúrese de que el equipo comprenda el modelado de amenazas.
El modelado de amenazas es esencial para una prueba de penetración de aplicación móvil correctamente ejecutada. En lugar de un enfoque de corte de galletas, desea que el evaluador de penetración participe en una conversación para comprender realmente la arquitectura de su aplicación móvil, los datos confidenciales, la propiedad intelectual confidencial y cómo se podría explotar su aplicación. Solo entonces el socio puede adaptar la prueba al perfil de amenaza particular de su aplicación móvil. Por supuesto, la prueba debe basarse en los estándares móviles de la industria, como OWASP Mobile Top 10, MASVS y CVSS.
- Busque informes que incluyan contexto y elementos visuales.
No solo desea un equipo que pueda devolver los resultados de las pruebas de penetración de manera oportuna, sino también uno que proporcione resultados claros y procesables. El informe debe proporcionar escenarios de ataque detallados que indiquen la gravedad y la probabilidad de problemas de seguridad junto con capturas de pantalla y elementos visuales para respaldar los hallazgos. Las pruebas de penetración de aplicaciones móviles de alta calidad también deben incluir instrucciones de corrección para que los desarrolladores las aborden.
- Elija un proveedor que adopte un enfoque consultivo.
Hacer del servicio al cliente una prioridad en el proceso de selección. Además de reunirse con el equipo de pruebas al inicio del proyecto para determinar el alcance y el enfoque, desea que un equipo de pruebas de penetración de aplicaciones móviles se reúna con usted para revisar los resultados. Tal vez necesite asesoramiento sobre cómo convencer a los desarrolladores sobre qué errores priorizar o consejos sobre qué resultados compartir con el CIO. Finalmente, busque un experto en pruebas de penetración que incluya nuevas pruebas para validar correcciones y remediar vulnerabilidades.
Para obtener más información sobre el arte de las pruebas de penetración de aplicaciones móviles de iOS y Android, consulte estas mejores prácticas de prueba de aplicaciones móviles de iOS y Android de los expertos de NowSecure Services y simplifique el proceso de selección descargando esta lista de verificación para elegir un proveedor de pruebas de penetración de aplicaciones móviles.
Relacionado:
5 conceptos erróneos sobre las pruebas de penetración para aplicaciones móviles
Herramientas de prueba para la seguridad de aplicaciones móviles: cómo elegir
Pruebas de penetración del servidor web: definición, lista de verificación y herramientas
Atestación de dispositivos: una capacidad clave para SoftPOS y aplicaciones de alta seguridad
